NAVER Privacy White Paper

2

발간사

국내 인터넷 기업들이 PC 인터넷 시대의 서비스와 조직, 기업문화를 모바일 시대에 맞게 개선한 지 얼

마 되지 않았는데, 벌써 ‘제4차 산업혁명’이라는 새로운 화두가 제시되고 있습니다. 지난 1월 스위스 다

보스에서 열린 제46차 세계경제포럼(WEF) 연차총회에서는 인공지능(AI), 가상현실(VR), 자율주행

자동차, 빅데이터, 사물인터넷(IoT) 등 수많은 기술이 연결되는 ‘제4차 산업혁명’을 핵심 주제로 다루기

도 했습니다. 이러한 기술의 비약적 발전과 융합이 세상을 어떻게 변화시킬 것인지에 기대하는 사람들

의 목소리도 크지만, 한편으로는 우려의 목소리도 여기저기서 함께 들려오고 있는 것이 사실입니다.

인류가 희망하는 대로 ‘기술’을 사용할 수 있도록 하는 것, 그리고 이로 인해 발생할 수 있는 부작용을

최소화하기 위해 존재하는 것이 바로 제도와 규제일 것이라 생각합니다. 즉 규제는 기술 혁신의 발목을

잡는 수단이 아니라 기술이 인간을 위해 사용되도록 돕는 것, 바로 이런 역할을 위해 존재하는 것이라

볼 수 있습니다.

「NAVER Privacy White Paper」는 이러한 일련의 고민이 낳은 결과물 중 하나입니다. 기술 혁신을 통

한 진보와 그 과정에서 발생할 수 있는 개인정보 및 프라이버시 침해 논란에 대해 함께 고민하고, 합리

적인 해결책을 논의할 수 있는 마중물이 되었으면 한다는 바람으로 작년 처음 본 백서를 선보였고, 올

해 두 번째 결과물을 선보이게 되었습니다.

본 백서의 올해 주제는 크게 두 가지 축으로 나뉩니다. 고려대학교 박노형 교수님과 연세대학교 오병철

교수님의 연구는 빅데이터, 사물인터넷 등 최근 가장 논의가 활발한 기술 분야에서의 개인정보보에 대

한 내용을 담고 있습니다. 다음으로 가천대학교 최경진 교수님의 EU 일반정보보호규정에 대한 연구는

미국과 함께 개인정보보호 영역에서 세계 경제에 많은 영향을 미치는 EU의 개인정보보호 법제를 통해

우리나라의 제도와 법에 시사점을 제시합니다.

그럼 올해 백서가 ‘사람’을 향하는 ‘기술’을 돕는 합리적인 제도, 그 중에서도 개인정보보호 분야의 연구

에 작게나마 기여하기를 바랍니다. 감사합니다.

2016년 12월

네이버주식회사 대표 김 상 헌

3

빅데이터 관련

주요 국가의 개인정보보호 법제도 분석에 따른

한국 개인정보보호법 개선의 검토

고려대학교 법학전문대학원 박노형 교수

NAVER Privacy White Paper

4

목차

요약문 7

1. 빅데이터 분석기술과 프라이버시 10

가. 빅데이터와 프라이버시와의 관계 10

나. 빅데이터 분석기술과 개인정보보호법의 문제 11

2. EU의 GDPR 12

가. 개인정보의 목적 외 처리 13

나. 익명처리와 가명처리 16

3. 한국의 개인정보보호법 21

가. 개인정보의 목적 외 이용·제공 21

나. 통계작성 및 학술연구 등 목적 22

다. 익명처리와 가명처리 23

라. 개인정보보호법 제18조 제2항 제4호에 따른 빅데이터 분석기술 활용 가능성 24

4. 미국 및 일본의 개인정보보호법제 25

가. 미국의 비식별조치 26

나. 일본의 비식별조치 34

다. 미국과 일본의 비식별조치 평가 37

5. 결어 : 빅데이터 분석기술 활용을 위한 한국의 개인정보보호법 개정 방안 38

참고문헌 43

5

요약문

1. 빅데이터(big data)는 ‘사람, 기기 또는 센서와 같은 다양한 종류의 출처로부터 생성된 다양한 유

형의 큰 분량의 데이터’(large amounts of different types of data produced from various

types of sources, such as people, machines or sensors)를 가리킴.

- 빅데이터 분석기술 차원에서 ‘개인정보의 광범위한 수집과 추가 처리’(extensive collection and

further processing of personal information)는 대규모의 전자적 감시, 프로파일링 및 개인정보

의 공개와 관련하여 심각한 프라이버시의 우려를 제기함.

- 빅데이터 분석기술이 정보의 최대한 수집과 활용인 점에서 개인정보보호의 기본원칙 중에서 ‘개인

정보 최소화’(data minimization) 원칙을 위반할 가능성이 높기 때문임.

- 빅데이터 분석기술을 통하여 기후변화, 전염병 또는 약의 부작용 등의 정확한 예측이 가능하게 되는

사회적 유용성이 인정되지만 동시에 개인의 프라이버시나 개인정보보호에 대한 침해 가능성도 커지

게 됨.

2. 빅데이터 분석기술의 활성화를 위하여 개인의 프라이버시와 개인정보보호가 일방적으로 제한되거

나 침해될 수 없을 것이고, 동시에 관련 기술과 혁신의 발전이 무조건 제한되거나 침해될 수도 없음.

- 프라이버시와 개인정보보호의 법익과 기술발전에 근거한 빅데이터 분석기술의 활용 사이의 올바른

균형이 요구됨.

- 개인의 프라이버시를 침해하지 않고서도 빅데이터 분석기술의 모든 이익을 얻기 위하여 동 분석기

술의 한계를 정하고 동 분석기술에서의 적절한 개인정보보호 안전조치를 통합하는 것이 필요함.

- 종래 빅데이터 분석기술과 프라이버시를 상호대척관계(big data v. privacy)로 보고 있었지만, 프라

이버시와 개인정보보호를 빅데이터 분석기술의 내재적인 기본적 가치로서 이해하여 프라이버시를

빅데이터 분석기술에 포함하는 상호통합관계(big data with privacy)로 보아야 할 것임.

3. 흥미롭게도 한국의 개인정보보호법은 개인정보보호에 관한 일반법으로서 일본이나 유럽연합의 상

응하는 법에 비교하여 상당히 최근에 제정되었음에도, 빅데이터 분석기술 등 개인정보의 활용 측면

에서는 상당히 부정적인 역할을 하는 것으로 이해됨.

- IT강국이라고 자타가 공인하는 한국에서 개인정보보호와 개인정보 활용의 올바른 균형이 상실된 것

으로 볼 수 있음.

- 한국 개인정보보호법의 빅데이터 분석기술의 활성화에 대한 문제는 크게 개인정보의 ‘목적 외 이용·

제공’과 개인정보의 소위 ‘비식별화’에 관련되는 것으로 볼 수 있음.

- 빅데이터 분석기술에서 개인정보가 수집 또는 제공되어 이용되는 과정에서 그 대상인 대량의 개인

6

정보가 원래의 수집 목적으로만 처리될 수 없는 현실적인 한계가 있기 때문임.

- 이러한 점에서 개인정보의 특정 개인에 대한 식별성을 제거하는 비식별화가 빅데이터 분석기술을

위한 모범답안으로서 제시되고 있지만, 일단 비식별화된 개인정보가 달리 재식별화되는 현실적인

문제가 제기됨.

- 그럼에도, 개인정보의 목적 외 이용·제공과 비식별화는 현실적으로 불가피하고, 이들은 개인정보보

호를 주된 목적으로 하는 개인정보보호법의 법적 테두리 내에서 허용되어야 할 것임.

4. 빅데이터 분석기술을 허용하는 방식에는 크게 두 가지 방식이 존재한다 할 수 있음.

- 첫 번째 방식은 개인정보를 최초 수집 시 목적이 아닌 추가 목적에 따라 목적 외 처리하도록 허용하

는 것이고, 두 번째 방식은 개인정보를 비식별처리하여 해당 정보가 더 이상 해당 법의 적용을 받지

않게 하는 것임.

- 유럽연합의 ‘개인정보보호일반규칙’(GDPR)은 가명처리정보와 익명처리정보를 구분하여, 개인정보

에 해당하는 가명처리정보는 일정한 법률요건을 충족하는 경우 목적 외 처리로서 허용하고, 개인정

보에 해당하지 않는 익명처리정보의 활용은 GDPR의 적용을 배재함으로써 상기 두 가지 접근 방식

을 모두 취한다고 볼 수 있음.

- 이와 달리, 미국의 ‘비식별정보’ 및 일본의 ‘익명가공정보’는 개인정보에 해당하지 않아서 자유로운

이용과 제공이 가능하여서, 이들 두 국가는 빅데이터 분석기술 등 개인정보의 활용을 위하여 후자의

접근 방식을 취하고 있는 것으로 보임.

- 문제는 이러한 비식별처리, 특히 익명처리에 따른 빅데이터 분석기술의 허용은 관련 개인정보보호

법제의 테두리 안에서 규율되는 것이 아니라, 해당 법의 적용범위를 벗어나게 하여 허용되는 것임.

5. 결론적으로 21세기 디지털경제에서 빅데이터 분석기술 등을 통한 개인정보 이용의 활성화는 결코

피하거나 억제할 수 없는 것이지만, 동시에 국가나 국제사회에서의 기본적 구성원인 개인의 개인정

보보호도 결코 양보될 수 없음.

- 이 점에서 빅데이터 분석기술과 개인정보보호는 함께 가야 할 것이고, 이러한 개인정보 활용은 개인

정보보호를 내재하면서 허용되어야 할 것임.

- 빅데이터 분석기술과 개인정보보호의 조화에 관하여 유럽연합, 미국과 일본의 관련 법제도를 검토

하는데, 개인정보의 비식별화 내지 익명조치에 중점을 두는 미국과 일본의 접근 보다는 목적 외 처리

로서 가명조치를 포함하는 유럽연합의 접근이 보다 현실적이고 법적으로 안정적이라고 판단됨.

- 특히 가명조치가 익명조치 보다 선호되는 것은 가역성이라는 점에서 익명조치는 결코 완전하지 않

으며, 또한 익명조치와 달리 가명조치는 여전히 개인정보보호법의 적용 범위 내에 있기 때문임.

- 즉, 개인정보보호법의 세계적 추세인 개인정보보호와 개인정보 활용 사이의 균형이 추구될 수 있을

것임.

7

- 2016년 발표된 ‘개인정보 비식별 조치 가이드라인 -비식별 조치 기준 및 지원·관리체계 안내-’는 미

국과 일본의 접근과 유사하게 익명조치에 집중한 점에서 또한 보다 정상적인 개인정보보호법의 개

정을 대신하는 점에서 긍정적이라고 볼 수 없음.

- 개인정보보호법의 목적으로부터 빅데이터 분석기술의 포용까지 동 법의 전면적인 개정이 필요할 것임.

8

1. 빅데이터 분석기술과 프라이버시

가. 빅데이터와 프라이버시와의 관계

빅데이터(big data)는 ‘사람, 기기 또는 센서와 같은 다양한 종류의 출처로부터 생성된 다양한 유형의

큰 분량의 데이터’(large amounts of different types of data produced from various types of

sources, such as people, machines or sensors)를 가리킨다.1 빅데이터의 일반적인 예로 기상 정보,

인공위성이 보낸 사진, 디지털 사진과 비디오, 전송기록 또는 GPS신호가 있지만, 사람의 이름, 사진, 이

메일주소, 은행계좌번호, SNS에 올린 자료, 건강정보 또는 IP주소와 같은 개인정보를 포함할 수 있다.2

빅데이터를 통하여 생성되는 개인정보의 경제적 가치가 확인되는데, 유럽시민의 개인정보의 가치가

2020년까지 1조유로(약1,245조원)로 발전할 것이라고 한다.3 개인정보를 활용한 빅데이터 분석기술

(big data analytics)의 발전은 개인정보의 주체인 사람의 보호, 특히 개인정보보호의 높은 수준을 요구

할 것이다. 높은 또는 올바른 수준의 개인정보보호가 유지되어야 소비자의 빅데이터 분석기술 활용에

대한 신뢰가 높아지고 그만큼 그의 활용이 더욱 확대될 것이기 때문이다.

빅데이터 분석기술 차원에서 ‘개인정보의 광범위한 수집과 추가 처리’(extensive collection and

further processing of personal information)는 대규모의 전자적 감시, 프로파일링 및 개인정보의

공개와 관련하여 심각한 프라이버시의 우려를 제기한다.4 빅데이터 분석기술이 정보의 최대한 수집과

활용인 점에서 개인정보보호의 기본원칙 중에서 ‘개인정보 최소화’(data minimization) 원칙을 위반할

가능성이 높기 때문이다. 빅데이터 분석기술을 통하여 기후변화, 전염병 또는 약의 부작용 등의 정확한

예측이 가능하게 되는 사회적 유용성이 인정되지만 동시에 개인의 프라이버시나 개인정보보호에 대한

* 본고의 작성과 편집에 도움을 준 고려대학교 대학원 박사과정 김효권 연구원과 박주희 연구원 및 석사과정 홍진형 연구원에게

고마움을 표한다.

1 European Commission, Factsheet: The EU Data Protection Reform and Big Data, (2016.03), p.1.

2 Information Commissioner’s Office, “Big Data and Data Protection”, (2014.07.28.), available online at: https://

ico.org.uk/media/for-organisations/documents/1541/big-data-and-data-protection.pdf, pp.34–39.

3 European Commission, supra note 1, p.1.

4 ENISA, Privacy by design in big data: An overview of privacy enhancing technologies in the era of big data analytics,

(2015.12), p.5.

9

침해의 가능성도 커지게 된다.5

빅데이터 분석기술의 활성화를 위하여 개인의 프라이버시와 개인정보보호가 일방적으로 제한되거나

침해될 수 없을 것이고, 동시에 관련 기술과 혁신의 발전이 무조건 제한되거나 침해될 수도 없다. 따라

서 프라이버시와 개인정보보호의 법익과 기술발전에 근거한 빅데이터 분석기술의 활용 사이의 올바른

균형이 요구된다. 개인의 프라이버시를 침해하지 않고서도 빅데이터 분석기술의 모든 이익을 얻기 위

하여 동 분석기술의 한계를 정하고 동 분석기술에서의 적절한 개인정보보호 안전조치를 통합하는 것이

필요하다. 이와 관련하여 종래 빅데이터 분석기술과 프라이버시를 상호대척관계(big data v. privacy)

로 보고 있었지만, 프라이버시와 개인정보보호를 빅데이터 분석기술의 내재적인 기본적 가치로서 이해

하여 프라이버시를 빅데이터 분석기술에 포함하는 상호통합관계(big data with privacy)로 보아야 할

것이다.6 이렇게 프라이버시와 빅데이터 분석기술을 통합관계로 접근하여야 21세기 디지털경제에서

개인정보를 활용할 수밖에 없는 빅데이터 분석기술은 물론 이러한 개인정보의 주체인 개인도 모두 균

형되게 이익을 추구할 수 있게 된다.

나. 빅데이터 분석기술과 개인정보보호법의 문제

최근 유럽연합을 비롯하여 주요 국가와 국제기구가 개인정보보호제도를 개혁하고 있는데, 이는 지

난 30년 가까이 급속하게 발전한 인터넷 등 관련 정보통신기술의 개인정보보호와의 합리적인 균형

을 이루기 위한 것으로 이해된다. EU의 ‘1995년 개인정보보호지침’(Directive 95/46/EC of the

European Parliament and of the Council of 24 October 1995 on the Protection of Individuals

with regard to the Processing of Personal Data and on the Free Movement of Such Data)

은 2016년 4월 ‘개인정보보호일반규칙’(General Data Protection Regulation: GDPR)으로 대체되

었고, 유럽평의회(Council of Europe)의 1981년 ‘개인정보의 자동처리에 관한 개인의 보호를 위한

협약’(Convention for the Protection of Individuals with regard to Automatic Processing of

5 International Working Group on Data Protection in Communications, Working Paper on Big Data and Privacy, (2014);

Article 29 Data Protection Working Party, Statement on the impact of the development of big data on the protection

of individuals with regard to the processing of their personal data in the EU, 14/EN WP221, (2014. 9. 16), available

online at: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinionrecommendation/

files/2014/wp221_en.pdf; European Data Protection Supervisor, Opinion 07/2015 - Meeting the challenges of big

data, (2015), available online at:https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/

Consultation/Opinions/2015/15-11-19_Big_Data_EN.pdf; 특히 유럽의회는 개인 생활의 다양한 측면이 데이터로

전환되는 ‘사회의 데이터화’(datafication of society)의 문제를 공감하였다. European Parliament, Big Data and Smart

Devices and their Impact on Privacy, (2015), available online at: http://www.europarl.europa.eu/RegData/etudes/

STUD/2015/536455/IPOL_STU%282015%29536455_EN.pdf, p.11.

6 ENISA, supra note 4, pp.17-18.

10

Personal Data)은 소위 현대화를 위하여 개정 중이며, 1980년 ‘OECD가이드라인’(OECD Guidelines

on the Protection of Privacy and Transborder Flows of Personal Data)은 2013년 개정되었다.

또한, 일본의 2003년 개인정보보호법은 2015년 개정되었다.

흥미롭게도 한국의 개인정보보호법은 개인정보보호에 관한 일반법으로서 2011년 채택되어 현재 적용

되고 있지만, 일본이나 유럽연합의 상응하는 법에 비교하여 상당히 최근에 제정되었음에도, 빅데이터

분석기술 등 개인정보의 활용 측면에서는 상당히 부정적인 역할을 하는 것으로 이해된다. IT강국이라고

자타가 공인하는 한국에서 개인정보보호와 개인정보 활용의 올바른 균형이 상실된 것으로 볼 수 있다.

예컨대, 국내 빅데이터 공급 및 수요 기업을 대상으로 조사한 결과에 따르면 빅데이터산업 활성화에 가

장 큰 걸림돌 중 하나로 ‘법제도’문제가 지적되었다.7 즉, 국내에서는 개인정보 범위의 불명확성, 경직적

사전동의제도 등으로 인해 효율적 빅데이터 분석기술의 발전이 사실상 곤란하다는 것이다. 그 결과 국

내기업의 영업활동의 지장이 초래되고 우리 기업의 글로벌 경쟁력이 저하된다는 것이다.

한국 개인정보보호법의 빅데이터 분석기술의 활성화에 대한 문제는 크게 개인정보의 ‘목적 외 이용·제

공’과 개인정보의 소위 ‘비식별화’에 기인하는 것으로 볼 수 있다. 빅데이터 분석기술에서 개인정보가

수집 또는 제공되어 이용되는 과정에서 그 대상인 대량의 개인정보가 원래의 수집 목적으로만 처리될

수 없는 현실적인 한계가 있기 때문이다. 이러한 점에서 개인정보의 특정 개인에 대한 식별성을 제거하

는 비식별화가 빅데이터 분석기술을 위한 모범답안으로서 제시되고 있지만, 일단 비식별화된 개인정보

가 달리 재식별화되는 현실적인 문제가 제기된다. 그럼에도, 개인정보의 목적 외 이용·제공과 비식별화

는 현실적으로 불가피하고, 이들은 개인정보보호를 주된 목적으로 하는 개인정보보호법의 법적 테두리

내에서 허용되어야 할 것이다. 아래에서는 주로 유럽연합의 2016년 GDPR의 채택과 부차적으로 미국

과 일본의 관련 개인정보보호법의 내용을 중심으로 한국의 개인정보보호법 개선 방안을 검토한다.

2. EU의 GDPR

2016년 4월 유럽연합은 1995년 개인정보보호지침을 전폭적으로 개정하는 내용의 ‘개인정보보호일

반규칙’(General Data Protection Regulation: GDPR)을 채택하였다.8 2018년 GDPR의 적용으로 현

재의 28개 회원국들에서 일관되고 통일적인 개인정보보호법체제가 시행될 것이다.

7 한국정보화진흥원 ICT융합본부, “개인정보보호 법제로 인한 빅데이터 활용 한계사례 조사·분석”, 한국정보화진흥원, (2015. 12), p.1.

8 European Union, REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27 April

2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of

such data, and repealing Directive 95/46/EC (General Data Protection Regulation, GDPR), (2016), available online at:

http://ec.europa.eu/justice/data-protection/reform/files/regulation_oj_en.pdf.

11

가. 개인정보의 목적 외 처리

GDPR은 목적 외 처리에 대하여 상당히 유연한 접근을 취하고 있다. GDPR 제6조 제4항에 따라 개인정

보의 목적 외 처리가 허용되는 경우는 첫째, 목적 외 처리에 대한 정보주체의 동의를 얻는 경우, 둘째, 목

적 외 처리가, 제23조 제1항에 명시된 일련의 목적을 보호하기 위하여, 유럽연합 또는 회원국의 법률에

근거하는 경우,9 셋째, 개인정보가 최초로 수집될 때 제시된 목적과 다른 목적(another purpose)이 최

초 수집 목적과 양립하는 경우이다.

최초 수집 목적과 양립하는 다른 목적에 근거한 추가적 처리(further processing)를 허용하는 것은, 동

규정에 한정적으로 명시된 정보주체의 동의 또는 법률에 따른 예외사유 이외의 목적 외 처리를 폭 넓게

인정하려는 것으로서, 개인정보의 활용과 관련이 깊을 것이다. GDPR 제6조 제4항은 이러한 양립가능성

을 판단하기 위한 고려사항으로서 i) 최초 수집 목적과 추가적 처리를 위한 목적 사이의 연관성, ii) 정보주

체와 개인정보처리자의 관계를 고려하여, 해당 개인정보가 수집되는 전후 상황, iii) 제9조 내지 제10조

에서 규정하고 있는 민감정보 및 범죄기록 처리 여부 등 처리되는 개인정보의 특성, iv) 의도된 추가적 처

리가 정보주체에 미칠 수 있는 결과, v) 적절한 안전장치(safeguards)10로서 암호처리(encryption) 또는

가명처리(pseudonymisation) 여부를 규정한다. 추가적 처리를 위한 목적이 최초 수집 목적과 양립한다

면, 이러한 목적 외 처리는 정보주체의 동의나 별도의 법적 근거 없이도 허용된다.11

빅데이터 분석기술 등 개인정보의 활용과 관련하여 주목할 규정은 GDPR 제5조 제1항(b)이다. 동 조

항은 개인정보의 목적 외 처리를 원칙적으로 금지하면서도, GDPR 제89조 제1항에 따른 ‘공익을 위

한 기록보존 목적, 과학 또는 역사 연구 목적, 또는 통계적 목적’(archiving purposes in the public

interest, scientific or historical research purposes or statistical purposes)은 원래의 수집 목적

과 양립 가능한 것으로 간주된다고 규정한다. 이러한 특별한 목적에 따른 추가적 처리는 제89조 제1항

에 규정된 안전장치를 구비하는 한, 적법한 목적 외 처리로서 허용되는 것이다.

9 GDPR 제23조 제1항에 규정된 목적으로는 국가안보, 방위, 공공안전, 범죄의 예방, 조사, 적발, 기소 또는 형사처분 집행(공공안전

확보 및 공공안전에 대한 위협의 예방을 포함), 그밖에 유럽연합 또는 회원국의 공익상 중요한 목적으로, 특히 유럽연합 또는 회원국의

중요한 경제적 또는 재정적 이익, 사법독립과 사법절차의 보호, 직업적 윤리의 위반에 대한 예방, 조사, 적발 및 기소, 상기 언급된

사항에 대한 공공기관의 감독 및 조사, 정보주체의 보호와 정보주체가 아닌 다른 사람의 권리와 자유, 민사청구의 집행이 존재한다.

10 여기서의 ‘safeguards’는 개인정보보호법 제29조 안전조치의무에서 규정하는 물리적·기술적·관리적 조치를 의미하는 안전조치와

구별될 것이다. 개인정보보호법 제29조와 유사한 조항은 GDPR 제32조 ‘security of processing’으로서 동 조항에서 규정하는

‘technical and organisational measure’가 국내법상 안전조치에 해당한다고 볼 수 있다. 이에 따라 GDPR 제89조 등에서

명시하고 있는 ‘safeguards’는 안전조치와 구분되기 위하여 ‘안전장치’로 표기될 수 있다. 동일한 맥락에서, GDPR 제32조는 ‘처리의

안보’가 아니라 ‘안전한 처리’로 풀이될 수 있다.

11 GDPR Recital (50).

12

따라서, GDPR에서 빅데이터 분석기술을 비롯한 개인정보의 활용은 다음의 근거에 의하여 목적 외 처

리로서 허용될 수 있다. 첫째, 제6조 제4항(e)에 따라 가명처리 또는 암호처리가 되어 있는 경우, 추가

적 처리를 위한 목적이 최초 수집 목적과 양립 가능한 경우가 존재할 수 있다. 다만, 동 조항에 따른 안

전장치는 목적의 양립 가능성을 판단하기 위한 하나의 고려사항에 불과하므로, 가명처리 또는 암호처

리의 존재 자체가 목적 외 추가적 처리를 필연적으로 적법하게 하는 것은 아니다. 둘째, 제5조 제1항(b)

및 제89조 제1항에 따라서, 공익을 위한 기록보존 목적, 과학 또는 역사 연구 목적, 또는 통계적 목적에

따른 개인정보 처리는, 해당 처리가 가명처리를 포함한 안전장치를 구비하고 있는 한, 목적 외 처리로서

허용된다.

양자의 가장 큰 차이는 공익을 위한 기록보존 목적, 과학 또는 역사 연구 목적, 또는 통계적 목적을 위한

개인정보 처리의 경우, 최초 수집 목적과의 양립 가능성을 별도로 판단할 필요가 없다는 점이다. 또한

두 경우에 있어서, 가명처리 또는 암호처리를 포함한 안전장치는 그 법적 지위가 다르다 할 것이다. 즉,

제6조 제4항(e)에 근거하는 경우 안전장치는 양립 가능성을 판단하기 위한 고려사항에 불과한 반면, 제

5조 제1항(b)에서 언급하는 동 규정 제89조 제1항에 따른 안전장치는 목적 외 처리를 허용하기 위한

필수적인 요건에 해당한다.

1) 공익을 위한 기록보존 목적, 과학 또는 역사 연구 목적, 또는 통계적 목적

① 개념과 범위

공익을 위한 기록보존 목적과 관련하여, 공익적 가치를 지닌 기록물을 보유하고 있는 공공당국 또는

공공·민간 기관이 수행하는 기록물의 획득, 보존, 평가, 편찬, 기술, 교환, 홍보, 배포, 제공은 목적 외

추가처리로서 허용된다.12 GDPR은 과학적 연구 목적의 개인정보 처리는 폭 넓게 해석되어야 한다고

규정하고 있다. 여기서 과학적 연구는 기술의 발전과 실현, 기초연구, 응용연구 및 민간투자연구, 공

중보건 분야에서 시행된 공공보건연구를 포함한다.13 특히 GDPR은 과학적 목적에 따른 개인정보 처

리에 있어서 ‘유럽연합 기능에 관한 조약’(Treaty on the Functioning of the European Union) 제

179조 제1항이 고려되어야 함을 언급하고 있는데, 동 조항은 과학자, 과학적 지식 및 기술이 자유롭

게 이동하는 ‘유럽연구지역’(European Research Area)의 실현을 목적으로 한다. 역사적 연구에는

계보학 (genealogical) 연구가 포함된다.14 다만, 공익을 위한 기록보존과 마찬가지로, 역사적 연구

를 목적으로 한 개인정보 처리에 있어서 사망한 사람의 개인정보는 동 규정의 적용을 받지 않는다.

통계적 목적에 따른 개인정보 처리에 대하여 GDPR은 통계 내용(statistical content), 접근의 통제

12 GDPR Recital (158).

13 GDPR Recital (159).

14 GDPR Recital (160).

13

(control of access), 통계 목적에 따른 개인정보 처리에 대한 세부사항과 정보주체의 권리와 자유를

보호하고 통계의 기밀성을 보장하기 위한 적절한 조치를 유럽연합 또는 회원국의 법률이 결정해야

함을 명시하고 있다.15 통계적 목적에 따른 개인정보 처리는 통계 조사 및 통계 결과를 작성하기 위하

여 필요한 개인정보의 수집 및 처리의 작업 일체를 의미한다.16 이러한 통계 결과는 과학적 목적을 포

함한 다른 목적을 위하여 추가적으로 이용될 수 있다.17 특히, 통계적 목적은 i) 통계 목적에 따른 처리

의 결과가 개인정보가 아니라 총합적 데이터(aggregate data)라는 사실과, ii) 이러한 통계 처리의

결과나 통계에 이용된 개인정보는 어떠한 개인에 관한 조치나 결정을 지지하는데 활용되지 않았다

는 사실을 의미한다.18 통계적 목적과 관련된 GDPR의 상기 해설은 개인정보의 활용과 관련하여 매

우 중요한 의미를 가진다. 통계를 위하여 이용된 정보에 개인정보가 포함되는 경우, 그러한 통계 처

리는 GDPR의 적용을 받는 것이 당연지만, 통계적 목적에 따른 개인정보 처리가 목적 외 처리로서 허

용될 수 있는 이유는 그러한 통계 처리의 결과물이 개인정보가 아닌 총합적 데이터로서 간주되기 때

문이다. 이러한 맥락에서 가명처리와 익명처리는 통계적 목적에 따른 개인정보의 활용과 밀접한 연

관성을 가진다. 2013년 제29조 작업반은 통계적 목적에 따른 개인정보 처리는 교통사고에 따른 사

망자 통계와 같이 공익적 목적뿐만 아니라, 시장조사를 목적으로 하는 빅데이터 분석기술과 같은 상

업용 목적을 포함한다는 의견을 제시하였다.19

② 목적 외 처리의 실효성

빅데이터 분석기술 등 개인정보 활용을 통한 시장가치의 창출을 도모함에 있어서 가장 중요한 부분

은 그러한 개인정보 처리를 어떠한 근거에 따라서 허용할 것인가이다. 그런데, GDPR이 규정하는 개

인정보의 목적 외 처리, 특히 공익을 위한 기록보존 목적, 과학 또는 역사 연구 목적, 또는 통계적 목

적에 따른 개인정보 처리 규정은 개인정보의 활용을 허용하는 근거가 될 수 있다. 그러나 목적 외 처

리를 허용하기 위한 법적 근거를 구비하는 것과 마찬가지로 중요한 것은 개인정보의 활용을 실효적

으로 도모하기 위한 일관된 법체계의 마련이다. 이러한 맥락에서 GDPR은 공익을 위한 기록보존 목

적, 과학 또는 역사 연구 목적, 또는 통계적 목적에 따른 개인정보의 활용과 관련하여 다음과 같은 관

련 규정을 둔다.

첫째, GDPR은 위의 목적에 따라 개인정보를 활용하는 개인정보처리자에 대하여 특정 의무를 경감

한다. GDPR 제14조는 개인정보처리자가 정보주체 이외의 출처로부터 개인정보를 수집하는 경우,

15 GDPR Recital (162).

16 GDPR Recital (162).

17 GDPR Recital (162).

18 GDPR Recital (162).

19 Article 29 Data Protection Working Party, Opinion 03/2013 on Purpose Limitation, 00569/13/EN WP203,

(2013.04.02), p.29.

14

개인정보처리자로 하여금 정보주체에게 자신에 대한 정보(기관명, 세부연락처 등), 처리의 목적과 근

거, 처리되는 개인정보의 유형, 수령인, 국외이전에 관한 정보 등을 고지하도록 요구한다. 그러나 동

조 제5항(b)는 개인정보처리자에게 ‘과도한 노력’(disproportionate effort)이 요구되고, 정보주체

에 대한 고지가 공익을 위한 기록보존 목적, 과학 또는 역사 연구 목적, 또는 통계적 목적에 따른 개인

정보 처리를 불가능하게 만들거나 그러한 목적의 달성을 심각하게 저해하는 경우 이러한 고지의무

를 면한다고 규정한다.

둘째, 공익을 위한 기록보존 목적, 과학 또는 역사 연구 목적, 또는 통계적 목적에 따른 개인정보 처리

에 대하여 정보주체가 가지는 권리는 다음과 같이 제한된다. GDPR 제17조에 따른 삭제권(right to

erasure)은 해당 목적에 따른 개인정보의 처리를 불가능하게 만들거나 그러한 목적의 달성을 심각

하게 저해하는 경우에 행사될 수 없다.20 또한, 과학 또는 역사 연구 목적, 또는 통계적 목적에 따른 개

인정보 처리가 공적인 이유를 근거로 처리되는 경우에, 정보주체는 제21조에 따른 처리반대권(right

to object)을 주장할 수 없다.21 또한, GDPR 제89조 제2항은 과학 또는 역사 연구 목적, 또는 통계적

목적에 따른 개인정보 처리에 대한 실효성을 확보하기 위하여, GDPR 제15조, 제16조, 제18조에 따

른 정보주체의 열람권, 정정권, 처리제한권의 행사를 유럽연합 또는 회원국의 입법조치로 제한할 수

있다고 규정한다.22

셋째, GDPR 제9조 제2항(j)에 따라 공익을 위한 기록보존 목적, 과학 또는 역사 연구 목적, 또는 통계

적 목적에 따른 민감정보 처리는 개인정보보호 권리의 본질을 존중하고, 그러한 목적이 비례적인 한

도 내에서 허용된다.

이처럼 GDPR은 공익을 위한 기록보존 목적, 과학 또는 역사 연구 목적, 통계적 목적에 따른 개인정보

처리에 있어서 개인정보 활용의 유연성을 대폭 확대하면서, 프로파일링을 포함한 자동화된 방식에

따른 개인정보 처리의 위험성을 자각하고 정보주체의 권리를 보호하는 관련 규정도 마련하고 있다.

나. 익명처리와 가명처리

GDPR은 미국 또는 일본과 달리 익명처리와 가명처리를 구분하고 가명처리(pseudonymisation) 및

가명처리정보라는 새로운 개념을 도입하여, 정보주체의 권리를 보호하는 동시에 개인정보 활용의 유연

성을 제고하고 있다. 즉, GDPR은 가명처리와 가명처리정보를 GDPR의 적용범위에 포함함과 동시에,

20 GDPR 제17조 제3항.

21 GDPR 제21조 제6항.

22 GDPR 제89조 제2항.

15

개인정보처리자가 가명처리정보를 활용하도록 관련 규정을 완화한다. 이에 따라 개인정보처리자는 최

초 수집 목적과 다른 추가 목적 또는 공익을 위한 기록보존 목적, 과학 또는 역사 연구 목적, 또는 통계적

목적에 따라 개인정보에 해당하는 가명처리정보를 빅데이터 분석기술에 활용할 수 있다.

흥미롭게도, 1995년 개인정보보호지침이 2016년 GDPR로 대체되는 과정에서 익명처리

(anonymisation)와 가명처리(pseudonymisation)의 두 개념의 지위가 변경되었다고 볼 수 있다. 먼

저, 1995년 개인정보보호지침은 가명처리를 언급하고 있지 않다. 다만, 제29조 작업반은 ‘익명처리기

법에 관한 05/2014 의견’(Opinion 05/2014 on Anonymisation Techniques)에서 동 지침 해설전

문 제26항에 근거하여 익명처리의 개념을 설명하면서, 익명처리는 개인정보의 추가적 처리(further

processing)로서 이해되어야 한다고 판단하였다.23 또한, 제29조 작업반은 가명처리가 익명처리의 수

단이 아니라고 밝혔는데, 이는 가명처리정보가 재식별될 수 있는 위험이 아주 작더라도 존재하기 때문

이다.24 이러한 맥락에서, 제29조 작업반은 가명(pseudonymity)은 식별성(identifiability)을 허용할

가능성이 있으므로, 개인정보보호의 법체제의 범위 내에서 규율되어야 한다는 의견을 제시하였다.25

이와 달리, GDPR은 주요 개념의 정의에 관한 제4조를 포함한 여러 관련 조항에서 가명처리를 상세히

규정하는 한편, 해설전문 제26항을 통하여 익명처리정보와 익명처리정보의 처리는 동 규정의 적용 대

상이 아님을 명시한다.26 이로써 1995년 개인정보보호지침이 2016년 GDPR로 대체되면서 비식별화

조치와 관련된 규율의 주된 관심은 익명처리에서 가명처리로 바뀐 것으로 볼 수 있다.27

1) 가명처리와 익명처리의 구별

GDPR에서 가명처리와 익명처리는 명확하게 구분된다. 먼저 GDPR 제4조에 따라 가명처리는 개인

정보의 처리에 해당하고, 가명처리된 개인정보, 즉 가명처리정보는 여전히 개인정보로서 GDPR의

적용을 받는다. 여기서 가명처리는 ‘추가적 정보의 이용 없이 개인정보가 더 이상 특정 정보주체에게

귀속될 수 없는 방식으로 개인정보의 처리’(processing of personal data in such a manner that

the personal data can no longer be attributed to a specific data subject without the use of

additional information)를 의미한다. 이러한 경우 이러한 추가적 정보는 별도로 보관되어야 하고,

23 Article 29 Data Protection Working Party, Opinion 05/2014 on Anonymisation Techniques, 0829/14/EN WP216,

(2014.04.10.), p.7.

24 Ibid., p.3.

25 Ibid., p.10.

26 GDPR Recital (26).

27 GDPR이 원칙적으로 익명처리정보와 익명처리정보의 처리에 대하여 적용되지 않는 점을 고려할 때, 제29조 작업반이 제시한

‘익명처리기법에 관한 05/2014 의견’을 포함하여 1995년 개인정보보호지침에 따른 익명처리정보에 대한 기존의 해설은 2016년

GDPR의 해석과 관련하여 조심스럽게 다루어져야 할 것이다.

16

해당 개인정보가 식별된 또는 식별가능한 자연인에 귀속될 수 없게 보장하도록 기술적·관리적 조치

가 취해져야 한다.28

GDPR 해설전문 제26항에 따르면, GDPR은 i) 식별된 또는 식별가능한 자연인과 관련되지 않거나

ii) 정보주체를 더 이상 식별할 수 없도록 개인정보에 익명처리가 가해진 익명처리정보(anonymous

information)에는 적용되지 않는다. 자연인에 대한 식별가능성 여부를 판단하기 위해서 개인정보처

리자(controller) 또는 제3자에 의하여 합리적으로 사용될 것으로 예상되는 모든 수단이 고려되어야

하고, 그러한 수단이 합리적으로 사용될 것으로 예상되는지를 판단하기 위해서는 식별하기 위해 소

요되는 비용·시간 등 객관적인 요소와 함께 처리 당시 가용한 기술과 기술적 발전을 모두 고려되어

야 한다.29

한편, 국제표준화기구(International Organization for Standardization: ISO)는 의료정보보호를

위한 기술보고서 ‘Health informatics — Pseudonymization’를 발간하였는데, 비식별조치의 이

해에 유용하다.30 동 보고서는 비식별처리(de-identification)를 ‘식별 데이터셋과 정보주체 사이의

연결을 제거하는 과정의 일반용어’(general term for any process of removing the association

between a set of identifying data and the data subject)로 정의한다.31 익명처리는 이러한 비

식별처리의 하부범주로서 ‘식별 데이터셋과 정보주체 사이의 연결을 제거하는 과정’(process that

removes the association between the identifying dataset and the data subject)이다.32 ISO

는 가명처리를 ‘정보주체와의 연결을 제거하고 또한 정보주체에 관련되는 특별한 특징셋과 하나 이

상의 가명 사이의 연결을 추가하는 특별한 유형의 익명처리’(a particular type of anonymization

that both removes the association with a data subject and adds an association between a

particular set of characteristics relating to the data subject and one or more pseudonyms)

라고 정의한다.33 일반적으로 가명처리는 직접 식별자를 무작위로 생성된 가치와 같은 가명

(pseudonym)으로 대체하는데,34 가명은 ‘일반적으로 이용되는 개인 식별자와 다른 개인 식별자

(personal identifier that is different from the normally used personal identifier)’를 의미한다.35

28 GDPR 제4조 제5호.

29 GDPR Recital (26).

30 ISO, ISO/TS 25237:2008 Health informatics — Pseudonymization, (2008.12.01.), available online at: http://

www.iso.org/iso/catalogue_detail?csnumber

=42807 참조. 동 보고서는 익명성의 기본 개념을 정의하고 비식별처리에 따른 개인정보 활용 사례를 설명하고 있다.

31 ISO, Ibid., p.3; Simson L. Garfinkel, “De-Identification of Personal Information 2 - NISTIR 8053” National Institute of

Standards and Technology Internal Report (NISTIR), (2015.10)에서 재인용.

32 ISO, Ibid., p.2; Simson L. Garfinkel, Ibid., p.43에서 재인용. 미국 NIST는 ‘anonymization’ 대신 ‘de-identification’이라고 한다.

33 ISO, Ibid., p.5; Simson L. Garfinkel, Ibid., p.2에서 재인용.

34 Simson L. Garfinkel, Ibid., p.43에서 재인용.

35 ISO, supra note 30, p.5; Simson L. Garfinkel, Ibid., p.43에서 재인용.

17

가명처리의 개념을 이해하기 위하여 직접 식별자(direct identifier)와 간접 식별자 (indirect

identifier)를 구별할 필요가 있다. 직접 식별자와 간접 식별자를 정의하고 있는 ISO 보고서에 따르

면, ‘한 개인을 직접적으로 식별하는 데이터’(data that directly identifies a single individual)’를

의미하는 직접 식별자는 ‘추가적 정보 없이 또는 공역에 있는 다른 정보를 통하여 교차연계하여 사

람을 식별하는데 이용될 수 있는 데이터’(data that can be used to identify a person without

additional information or with cross-linking through other information that is in the public

domain)이다.36 직접 식별자의 예는 이름, 사회보장번호나 이메일주소를 포함한다.37 간접 식별자

는 ‘독립적으로 개인을 식별하지 않지만 추가적 데이터포인트와 결합한다면 개별 신원을 드러낼

수 있는 데이터’(data that do not identify an individual in isolation but may reveal individual

identities if combined with additional data points)’를 의미한다. 예컨대, 생일, 성별 및 우편번호

라는 세 가지 간접 식별자를 결합하는 경우, 미국인의 87.1%가 식별될 수 있다고 한다.38 즉, 생일과

같은 간접 식별자를 단독으로 이용하여 개인을 식별하는 것은 어려워도, 성별과 우편번호라는 다른

간접 식별자를 결합하는 방식으로 특정 개인을 식별할 수 있게 되는 것이다.

가명처리는 이러한 직접 식별자 및 간접 식별자를 제거하거나 모호하게 하는 것이다. 이들 데이터포

인트는 무작위 식별 번호나 다른 가명과 같은 키를 사용하여 비식별화된 데이터베이스에 연계될 수

있는 별개의 데이터베이스에 보관된다. 익명처리와 달리, 가명처리는 추가적인 정보와의 결합을 통

하여 개인을 재식별할 수 있는 위험성을 가지므로,39 그러한 위험성을 감소시키기 위하여 개인정보

처리자는 ‘가명처리의 허가받지 않은 가역’(unauthorized reversal of pseudonymization)을 방지

하는 적절한 안전조치를 이행하여야 한다.40 이러한 안전조치에는 암호화·해싱(hashing)41·토큰화

(tokenization)42와 같은 기술적 조치와,43 협약·정책·프라이버시 중심 설계(privacy by design)와

같은 관리적 조치가 포함된다.44

36 ISO, Ibid., p.3; Simson L. Garfinkel, Ibid., p.15에서 재인용.

37 Simson L. Garfinkel, Ibid., p.15에서 재인용.

38 Latanya Sweeney, “Simple Demographics Often Identify People Uniquely”, Data Privacy Working Paper 3, Carnegie

Mellon University, (2000), p. 16.

39 Gabe Maldoff, “Top 10 operational impacts of the GDPR: Part 8 – Pseudonymization”, (2016.02.12.), available online

at: https://iapp.org/news/a/top-10-operational-impacts-of-the-gdpr-part-8-pseudonymization/.

40 GDPR Recital (75).

41 ‘해시 (hash)’는 잘게 자른 조각을 의미하는데, 전산 처리에서 ‘해싱 (hashing)’은 디지털 숫자열을 원래의 것을 상징하는 더 짧은

길이의 값이나 키로 변환하는 것을 의미한다. 기록학용어사전, available online at: http://terms.naver.com/entry.nhn?docId=

441307&cid=42081&categoryId=42081.

42 토큰화는 모바일 결제 시스템에서, 신용카드와 같은 개인 정보를 보호하기 위해 관련 정보를 토큰으로 변환하여 사용하는 방식을

의미한다. IT용어사전, available online at: http://terms.naver.com/entry.nhn?docId=3377367&cid=42346&category

Id=42346

43 Article 29 Data Protection Working Party, supra note 23, pp.20-21.

44 Gabe Maldoff, supra note 39.

18

2) 가명처리 관련 규정

GDPR은 다음과 같이 가명처리를 규율한다. 첫째, GDPR은 정보주체의 위험을 감소시키고 개인정보

처리자의 의무를 충족시키는 기술적 조치로서 가명처리를 장려한다.45 둘째, 가명처리정보를 어떠한

승인 없이 식별가능한 개인정보로 가역(reversal)하는 행위는 금지되고,46 이러한 행위는 개인정보

침해(personal data breach)를 구성한다.47 셋째, 가명처리를 포함한 안전장치(safeguards)는 최

초 수집 목적과 다른 목적의 양립 가능성을 판단하는 고려사항이다.48 넷째, 개인정보처리자는 ‘개인

정보보호 중심 디자인 및 설정’(data protection by design and by default)을 고려하여, 처리의 방

법을 결정하는 시점과 처리 당시 시점에서 가명처리를 포함한 안전장치를 취하여야 한다.49 다섯째,

개인정보처리자와 수탁처리자는 개인정보의 안전한 처리(security of processing)를 위하여 기술

적·관리적 조치를 취할 의무를 가지는데, 가명처리는 이러한 기술적 조치에 해당한다.50 여섯째, 개

인정보처리자를 대표하는 협회나 기타 단체는 행동강령(code of conduct)을 제정함에 있어서 가명

처리에 관한 세부규정을 마련할 수 있다.51 마지막으로, 가명처리는 공익을 위한 기록보존 목적, 과학

또는 역사 연구 목적, 또는 통계적 목적에 따른 개인정보 처리에서 반드시 요구되는 안전장치의 예로

서 명시적으로 언급된다.52

특히, GDPR은 개인정보를 보유하고 있는 개인정보처리자로 하여금 자체적인 가명처리에 따른 개인

정보의 활용을 허용한다. 해설전문 제29항에 따르면 개인정보처리자는 i) 개인을 식별하는데 쓰이는

추가적 정보를 별도로 보관하고, ii) 필요한 기술적·관리적 조치를 취하며, iii) 이를 감독하는 책임자

를 선정하는 경우, 자신이 보유한 개인정보를 스스로 가명처리할 수 있다. 예를 들어, 오픈데이터를

통하여 수집한 식별가능한 개인정보나 제3자로부터 제공받은 개인정보를 가명처리한 후, 해당 가명

처리정보를 통계적 목적에 근거하여 빅데이터 분석기술에 이용하는 것은 GDPR에서 허용된다.

45 GDPR Recital (28), (29).

46 GDPR Recital (75).

47 GDPR Recital (85).

48 GDPR 제6조 제4항.

49 GDPR 제25조.

50 GDPR 제32조.

51 GDPR 제40조.

52 GDPR 제89조.

19

3. 한국의 개인정보보호법

2011년 개인정보보호를 위한 일반법으로서 채택된 개인정보보호법은 국제적으로도 상당히 강력한 개

인정보보호법으로 평가되고, 그만큼 빅데이터 분석기술 등의 활용을 제약하고 있다고 이해된다.

가. 개인정보의 목적 외 이용·제공

개인정보보호법은 제3조에서 개인정보 처리 목적을 명확하게 하고 그 목적에 필요한 범위에서 최소한

의 개인정보만을 처리해야 함을 원칙으로 규정하고 있다. 그러나 개인정보의 활용을 허용할 수 있는 목

적 외 처리 규정과 관련하여 개인정보보호법은 GDPR과 다음과 같은 차이점을 가지고 있다.

첫째, 개인정보보호법 제2조는 개인정보 처리를 ‘개인정보의 수집, 생성, 연계, 연동, 기록, 저장, 보유,

가공, 편집, 검색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기(破棄), 그밖에 이와 유사한 행위’라고

정의하는데, ‘개인정보의 목적 외 이용·제공 제한’에 관한 제18조는 이러한 처리 중에서 이용과 제공에

국한한다.53 이는 개인정보보호법이 수집(제15조), 제공(제17조), 파기(제21조) 등 특정 유형의 개인정

보 처리를 분리하여 개별적으로 규율하고 있기 때문이다. 물론, 빅데이터 분석기술 등 개인정보의 활용

은 대개의 경우 개인정보의 이용·제공에 해당하겠지만, 개인정보의 목적 외 수집·저장·보유·가공·편집

등이 허용되지 않는다는 점은 개인정보의 활용을 저해하는 결과를 야기할 수 있다.

둘째, 개인정보보호법 제18조에 따라 동 법 제15조 및 제17조의 범위를 초과한 개인정보의 이용 및 제

공은 원칙적으로 금지되지만, 이에 대하여 다음과 같은 예외사유가 존재한다.

53 개인정보보호법 제2조.

20

제18조

제2항

1. 정보주체로부터 별도의 동의를 받은 경우

2. 다른 법률에 특별한 규정이 있는 경우

3. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를

받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고

인정되는 경우

4. 통계작성 및 학술연구 등의 목적을 위하여 필요한 경우로서 특정 개인을 알아볼 수 없는 형태로

개인정보를 제공하는 경우(밑줄 추가)

5. 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하지 아니하면 다른 법률에서 정하는

소관 업무를 수행할 수 없는 경우로서 보호위원회의 심의·의결을 거친 경우 (공공기관에 한함)

6. 조약, 그 밖의 국제협정의 이행을 위하여 외국정부 또는 국제기구에 제공하기 위하여 필요한 경우

(공공기관에 한함)

7. 범죄의 수사와 공소의 제기 및 유지를 위하여 필요한 경우 (공공기관에 한함)

8. 법원의 재판업무 수행을 위하여 필요한 경우 (공공기관에 한함)

9. 형(刑) 및 감호, 보호처분의 집행을 위하여 필요한 경우 (공공기관에 한함)

제58조

제1항

1. 공공기관이 처리하는 개인정보 중 「통계법」에 따라 수집되는 개인정보

2. 국가안전보장과 관련된 정보 분석을 목적으로 수집 또는 제공 요청되는 개인정보

3. 공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우로서 일시적으로 처리되는 개인정보

4. 언론, 종교단체, 정당이 각각 취재·보도, 선교, 선거 입후보자 추천 등

고유 목적을 달성하기 위하여 수집·이용하는 개인정보

[표1] 개인정보의 목적 외 제공·이용에 대한 예외

[표1]에서 나타나는 바와 같이, 개인정보보호법은 목적 외 이용·제공에 대한 예외사유를 한정적으로

명시하고 있다. 이는 최초 수집 목적과 양립 가능한 목적에 따른 추가적 처리를 별도의 법적 근거 없이

도 허용하는 GDPR과 대조된다.

공익을 위한 기록보존 목적, 과학 또는 역사 연구 목적, 통계적 목적에 근거한 목적 외 처리를 규정한

GDPR과 유사하게, 개인정보보호법 제18조 제2항 제4호는 ‘특정 개인을 알아볼 수 없는 형태로 개인정

보를 제공하는 경우’를 요건으로, ‘통계작성 및 학술연구 등의 목적’에 따른 목적 외 제공을 허용한다. 결

국 정보주체의 동의를 얻지 아니한 개인정보의 활용은 일반적으로 개인정보보호법 제18조 제2항 제4

호에 근거하는 것으로 보아야 할 것이다. 따라서, 빅데이터 분석기술과 관련하여 i) 개인정보의 활용 목

적이 통계작성 및 학술연구 등의 목적에 해당하는지 여부와 ii) 특정 개인을 알아볼 수 없는 형태로 개인

정보가 제공되었는지에 대한 여부에 따라 판단된다 할 수 있겠다.

나. 통계작성 및 학술연구 등 목적

개인정보보호법은 통계작성 및 학술연구의 개념과 범위에 대한 별도의 정의를 내리지 않는다. 다만 ‘통

계작성 및 학술연구 등’이라는 문언에 따라 비단 통계와 연구 목적이 아니라하더라도 제18조 제2항 제

21

4호의 취지에 부합하는 다른 목적의 제공이 존재할 수 있을 것이다.

GDPR과 비교하여, 통계작성 및 학술연구 등 목적에 따른 목적 외 제공·이용에는 다음과 같은 차이

점이 존재한다. 첫째, 개인정보보호법 제18조 제2항 제4호는 ‘특정 개인을 알아볼 수 없는 형태로 개

인정보를 제공’할 것을 요구한다. 이와 달리, GDPR 제89조 제1항은 공익을 위한 기록보존 목적, 과

학 또는 역사 연구 목적, 통계적 목적에 따른 개인정보 처리에 있어서 ‘적절한 안전장치’(appropriate

safeguards)가 반드시 확보되어야 함을 규정하며, 가명처리가 이러한 안전장치에 포함된다.

둘째, 개인정보보호법은 제18조 제2항 제4호 외에는 통계작성 내지 학술연구 목적과 관련되는 규정을

두고 있지 않다. 즉, 개인정보보호법은 제18조 내에서 목적 외 제공을 가능하게 하는 예외사유로서 통

계작성 및 학술연구 등 목적을 규정할 뿐, 이와 관련된 다른 조항을 두고 있지 않다. 이와 달리, GDPR은

공익을 위한 기록보존 목적, 과학 또는 역사 연구 목적, 통계적 목적에 따른 목적 외 처리는 개인정보의

활용이라는 측면에서 가명처리의 안전장치와 함께 보다 자세하게 규정하고 있다.

다. 익명처리와 가명처리

개인정보보호법은 가명처리를 고려하고 있지 않는 것으로 보인다. 첫째, 개인정보보호법은 익명처리와

달리 가명처리라는 용어를 사용하지 않는다. 다만, 동 법 제2조는 ‘해당 정보만으로는 특정 개인을 알아

볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것’을 개인정보에 포함하는데, 이는 GDPR에

서 정의하고 있는 가명처리정보와 결과적으로 매우 유사하다. 즉, GDPR의 가명조치는 ‘개인정보가 추

가적 정보의 이용 없이 특정 정보주체에게 더 이상 귀속될 수 없는 방식으로 개인정보의 처리’를 의미

한다. 둘째, 개인정보보호법은 제3조 7항에서 “개인정보처리자는 개인정보의 익명처리가 가능한 경우

에는 익명에 의하여 처리될 수 있도록 하여야 한다”라고 규정하여 익명처리를 명시적으로 권고하고 있

다.54 즉, 비식별화조치와 관련하여 개인정보보호법은 익명처리를 명시한다. 그러나, 동 법은 익명처리

의 구체적 내용 등에 관하여 규정하지 않는다. 셋째, 개인정보보호법 제18조 제2항 제4호의 ‘특정 개인

을 알아볼 수 없는 형태로 개인정보를 제공하는 경우’라는 문구가 가명처리 또는 익명처리를 의미하는

것인지 명확하지 않다. 그런데, ‘표준 개인정보 보호지침’(이하 표준지침) 제8조 제4항은 “개인정보처리

자가 법 제18조 제2항 제4호에 따라 개인정보를 제3자에게 제공하는 경우에는 다른 정보와 결합하여

서도 특정 개인을 알아볼 수 없는 형태로 제공하여야 한다”라고 규정하고 있다.55 이 점에서 개인정보보

54 개인정보보호법 제3조 7항은 개인정보보호 원칙으로서 익명처리를 권고하고 있으나, 이러한 익명처리가 언제, 누구에 의하여,

어떻게 처리되어야만 하는지에 대한 관련 규정은 존재하지 않는다.

55 2011년 채택된 표준지침은 2016년 개정되었는데, 조문 번호만 변경된 제8조 제4항은 개정되지 않았다.

22

호법 제18조 제2항 제4호에서 요구하는 개인정보 처리는 가명처리가 아닌 익명처리로 보는 것이 타당

하다. 이러한 맥락에서, 현행 개인정보보호법이 GDPR에서 중점적으로 규정하고 있는 가명처리를 반영

하고 있다고 보기는 어려울 것이다.56

라. 개인정보보호법 제18조 제2항 제4호에 따른 빅데이터 분석기술 활용 가능성

빅데이터 분석기술을 포함한 개인정보의 활용이 개인정보보호법 제18조 제2항 제4호에 근거하여 허

용될 수 있는지 아래와 같이 판단될 수 있을 것이다. 우선, 개인정보의 활용에 있어서 가장 큰 걸림돌로

서 작용하는 것은, 개인정보보호법 제18조 제2항 제4호가 목적 외 ‘제공’만을 허용하고 있는 점이다. 이

는 목적 외 처리를 허용하는 GDPR 및 목적 외 이용·제공에 관한 제18조 제2항에 규정된 다른 예외사

유와도 차이를 보인다. 즉, GDPR과 달리, 개인정보보호법은 학술 연구 및 통계 목적 등에 따른 개인정

보의 ‘이용’을 허용하고 있지 않다. 동 법 제18조 제2항이 ‘목적 외’ 이용·제공이라는 예외를 규정하는

점에서 이러한 예외는 제한적으로 허용되어야 할 것이고, 따라서 명시적으로 ‘이용’이 규정되지 않은 의

미가 인정되어야 할 것이다. 이에 따라 개인정보처리자가 식별가능한 개인정보파일을 보유하고 있는

상황에서, 자체적인 비식별조치를 거친 후에도 수집 목적 외의 목적으로 개인정보를 활용하는 것은 허

용되지 않는 것으로 해석될 수 있다.57 따라서 목적 외 제공만을 허용하는 개인정보보호법 제18조 제2

항 제4호는 빅데이터 분석기술에서 개인정보처리자의 자발적이고 자율적인 개인정보 활용을 금지하

는 것으로 볼 수 있다. 동 규정에 따르면, 해당 개인정보를 익명처리하는 자는 제공자이지만, 정작 학술

연구 또는 통계 목적에 따라 개인정보를 활용하는 자는 제공받는 자가 된다.

개인정보보호법 제18조 제2항 제4호에서 명시된 ‘특정 개인을 알아볼 수 없는 형태’의 정보가 익명처

리정보인지 가명처리정보인지에 대한 여부는 개인정보보호법 적용 여부와 실무상 빅데이터 분석기술

의 허용 여부를 결정하는 관건이 된다. 여기서 i) 동 호가 개인정보의 ‘이용’을 규정하지 않고, ‘제공’만을

규정한다는 점과 ii) 표준지침 제8조 제4항이 “다른 정보와 결합하여서도 특정 개인을 알아볼 수 없는

형태로 제공하여야 한다”라고 규정하고 있다는 점은 이러한 정보가 익명처리정보에 가깝다는 결론을

내리게 한다.

만약 제공받은 자가 이용하는 정보가 개인정보보호법 제2조에 따라 개인정보에 해당하는 가명처리정

보라면, 제공받은 자의 학술 연구 및 통계 목적에 따른 ‘가명처리정보의 이용’이 명시적으로 규정되어야

할 것이다. 그러나 동 법 제18조 제2항 제4호는 학술 연구 및 통계 목적에 따른 가명처리정보의 이용을

56 2016년 6월 30일 공개된 정부의 ‘개인정보 비식별 조치 가이드라인 -비식별 조치 기준 및 지원·관리체계 안내-’(이하 ‘2016년

가이드라인’이라 함)가 익명처리를 주된 내용으로 하는 것은 이러한 맥락에서 이해될 수 있다.

57 GDPR Recital (29) 참조. 그러나, 익명처리정보는 개인정보보호법의 적용을 받지 않는 점에서 개인정보처리자는 스스로

개인정보보호법의 적용을 받지 않는 익명처리정보를 만들어서 직접 이용할 수 있다는 주장도 가능할 것이다.

23

규정하는 것으로 보기는 어렵다. 제공받은 자의 학술 연구 및 통계 목적에 따른 정보의 ‘이용’을 개인정

보보호법이 규율하지 않는 이유는, ‘특정 개인을 알아볼 수 없는 형태로’ 제공된 정보가 개인정보보호법

제2조에 따른 개인정보에 해당하지 않는, 즉 동 법의 적용을 받지 않는 익명처리정보에 해당한다는 판

단에 따른 것이라고 추측할 수 있다. 개인정보보호법의 적용을 받지 않는 익명처리정보의 이용은 개인

정보보호법의 규율 대상이 아니기 때문이다. 이러한 입법 의도는 표준지침 제8조 제4항에 의하여 확인

될 수 있다.

전술한 바와 같이, GDPR에 따라 개인정보처리자는 추가적 정보의 별도 보관, 안전장치, 담당자 지정이

라는 세 가지 요건을 충족하는 경우, 자신이 보유하고 있는 개인정보를 스스로 가명처리할 수 있다. 이

와 달리, 개인정보보호법상 개인정보처리자는 자신이 보유하고 있는 개인정보를 스스로 가명처리한

후, 이를 목적 외 이용하는 것이 허용되지 않는다. 개인정보처리자는 자신이 보유하고 있는 개인정보를

활용하기 위해서 해당 정보를 익명처리하는 경우를 상정할 수 있지만, 개인정보보호법은 익명처리에

관한 세부 규정을 두지 않는다.

4. 미국 및 일본의 개인정보보호법제

빅데이터 분석기술을 허용하는 방식에는 크게 두 가지 방식이 존재한다 할 수 있다. 첫 번째 방식은 개

인정보를 최초 수집 시 목적이 아닌 추가 목적에 따라 목적 외 처리하도록 허용하는 것이다. 두 번째 방

식은 개인정보를 비식별처리하여 해당 정보가 더 이상 해당 법의 적용을 받지 않게 하는 것이다. GDPR

은 가명처리정보와 익명처리정보를 구분하여, 개인정보에 해당하는 가명처리정보는 일정한 법률요

건을 충족하는 경우 목적 외 처리로서 허용하고, 개인정보에 해당하지 않는 익명처리정보의 활용은

GDPR의 적용을 배재함으로써 상기 두 가지 접근 방식을 모두 취한다고 볼 수 있다.58

이와 달리, 미국의 ‘비식별정보’(de-identified data) 및 일본의 ‘익명가공정보’는 개인정보에 해당하지

않아서 자유로운 이용과 제공이 가능하여서, 이들 두 국가는 빅데이터 분석기술 등 개인정보의 활용을

위하여 후자의 접근 방식을 취하고 있는 것으로 보인다. 다시 말해, 이러한 비식별처리, 특히 익명처리

에 따른 빅데이터 분석기술의 허용은 관련 개인정보보호법제의 테두리 안에서 규율되는 것이 아니라,

해당 법의 적용범위를 벗어나게 하여 허용되는 것이다.

58 GDPR Recital (26).

24

가. 미국의 비식별조치

미국은 한국, 유럽연합, 일본과 달리 개인정보보호를 규율하는 일반법을 두지 않는다. 그런데, 개인정보

의 비식별화에 관하여 적어도 다음 두 가지 대표적인 입법예가 있다.

1) HIPAA 프라이버시 규칙

1966년 ‘건강보험 이동성 및 책임의 법’(Health Insurance Portability and Accountability Act:

HIPAA)의 프라이버시 규칙(Privacy Rules)은 ‘보호받는 건강정보’ (protected health information:

PHI)의 비식별화를 위한 두 가지 접근을 하고 있다.59 첫째 접근은 전문가결정 방식이고, 둘째 접근은

세이프하버 방식이다.60 물론 두 가지 접근은 재식별화(re-identification)의 위험이 없는 완전한 비

식별화 방식이 되지는 못한다. 대신에 이들 두 가지 접근은 재식별의 낮은 위험으로 비식별화된 건강

정보를 만들어서 공유하도록 하여 실용적이도록 의도된다.61

동 규칙의 보호대상인 PHI는 의료서비스제공자(health care providers) 등 동 규칙에 따라 건강정

보 보호 의무를 가지는 개인정보처리자(covered entity)가 보유하거나 전송하는 ‘개별적으로 식별

가능한 건강정보’(individually identifiable health information)를 의미한다.62 여기서 ‘개별적으

로 식별가능한 건강정보’는 개인의 과거, 현재 또는 미래의 신체적·정신적 건강 또는 상태, 개인에 대

한 의료서비스의 제공, 개인에 제공된 의료서비스의 과거, 현재 또는 미래의 납입과 관련하여 i) 개인

을 식별할 수 있는 정보 또는 ii) 합리적인 이유에 의하여 개인을 식별하기 위하여 이용될 것이라 믿을

수 있는 정보를 의미한다.63 개별적으로 식별가능한 개인정보는 이름, 주소, 생년월일, 사회보장번호

(Social Security Number) 등 여러 식별인자를 포함한다. 다만, ‘가족 교육권 및 프라이버시에 관한

법’(Family Educational Rights and Privacy Act)의 적용을 받는 근로기록(employment records)

등은 HIPAA 프라이버시 규칙의 적용을 받지 않는다.64

HIPAA 프라이버시 규칙은 개인의 PHI가 어떠한 상황에서 이용되거나 공개될 수 있는지에 대하여 관

련 기준을 정하고 이를 제한하는데 주된 목적이 있다. 동 규칙에 따라 개인정보처리자는 첫째, 동 규

59 HIPAA는 동 법률이 발효된 이후 3년 이내에 미국 의회가 프라이버시 관련 법률을 입법하지 않는 경우, 보건복지부 장관으로 하여금

개인을 식별할 수 있는 건강정보에 대한 관련 프라이버시 규칙을 공표할 것을 요구하고 있다. 이에 따라 HIPAA 프라이버시 규칙은

HIPAA가 발효된 후 상기 기간 동안 의회가 관련 입법을 채택하지 않았음을 근거로 보건복지부가 채택하였다.

60 각각 45 CFR §164.514(b)(1) 및 §164.514(b)(2) 참조.

61 Simson L. Garfinkel, supra note 31, p.22.

62 45 CFR §160.103.

63 45 CFR §160.103.

64 Family Educational Rights and Privacy Act, 20 USC §1232g.

25

칙이 허용하거나 요구하는 경우, 또는 둘째, 해당 정보의 대상이 되는 개인 또는 그의 대리인이 서면

형식으로 승인하는 경우에 한하여 PHI를 처리할 수 있다.65 또한 의료정보처리기관은 개인 또는 그의

대리인이 해당 개인의 PHI에 대하여 접근을 요구하는 경우 이를 공개해야 하고, 조사·검토·법집행과

관련된 의무 준수를 위하여 필요한 경우 해당 정보를 보건복지부에 공개해야 한다.66 PHI의 의무적

공개는 오직 상기 두 경우에 국한된다

① 전문가결정 방식

전문가결정 방식(Expert Determination Method)에 따라 전문가가 데이터를 검토하고 재식별화의

위험을 최소화하는 비식별화의 적절한 수단을 결정한다. 이에 관하여 프라이버시 규칙 은 다음과 같이

규정한다. 정보를 개인적으로 식별하지 못하게 하는 일반적으로 수락된 통계와 과학적 원칙과 수단의

적절한 지식과 경험을 가진 자가 이러한 원칙과 수단을 적용하여, 예견된 수령인이 단독으로 또는 다

른 합리적으로 이용가능한 정보와 결합하여 정보의 주체인 개인을 식별하도록 정보가 이용되는 위험

이 아주 작게 결정하고, 또한 이러한 결정을 정당화하는 분석의 방법과 결과를 기록하는 것이다.

그런데, 프라이버시 규칙이나 보건복지부 시민권국(Department of Health and Human Services

Office of Civil Rights)의 이행가이드는 전문가의 자격이나 기준을 제시하지 않고 또한, 전문가를 이

용하는 기관이 전문가결정을 공개하거나 전문가결정이 내려졌다는 것을 인정하기 위한 요건을 제시

하지 않는다.67 이들은 어떻게 재식별화 위험이 계산되어야 하거나 계량화되어야 하는지를 제시하지

않고, 또한 ‘아주 작아야’(very small) 한다는 것 이외에 재식별화의 최소 허용된 위험을 제시하지 않

는다.

전문가결정 접근은 전문가가 ‘일반적으로 수락된 통계 및 과학적 원칙과 수단’(generally accepted

statistical and scientific principles and methods)을 알고 이용해야 할 것을 제시한 점에서 통계적

공개통제(disclosure control)와 비식별화 수단에 대한 관련 문헌의 이해가 요구될 것이다. 비식별화

와 위험 수준의 강한 선례가 존재하므로, 효과적인 비식별화 수단으로서 이용될 것이라고 한다.68

65 45 CFR §164.502(a).

66 45 CFR §164.502(a)(2).

67 Office of Civil Rights, “Guidance Regarding Methods for De-identification of Protected Health Information in

Accordance with the Health Insurance Portability and Accountability Act (HIPAA) Privacy Rule”, US Department

of Health and Human Services, (2012.11.26.), available online at: http://www.hhs.gov/ocr/privacy/hipaa/

understanding/coveredentities/De-identification/guidance.html 참조.

68 Federal Committee on Statistical Methodology, “Statistical Policy Working Paper 22 (Second version, 2005):

Report on Statistical Disclosure Limitation Methodology”, (2005.12), available online at: https://fcsm.sites.usa.gov/

files/2014/04/spwp22.pdf.

26

② 세이프하버 방식

세이프하버 방식(Safe Harbor Method)은 해당 기관이 ‘개인이나 친척, 고용주, 또는 개인의 가

족’(individual or relatives, employers, or household members of the individual)에 대한 데

이터의 18개 특정 유형을 제거하여 데이터의 비식별조치를 허용한다. 18개 특정 유형은 다음과 같

다: “(A) 성명; (B) 주(state) 보다 작은 모든 지리적 행정구역으로서, 거리 주소(street address), 시

(city), 카운티(county), 지구(precinct), 우편번호(ZIP code) 및 그와 동등한 지오코드(geocode)를

포함하나, 통계국(Bureau of the Census)의 현재 공개적으로 이용가능한 데이터에 따라 (i) 앞 세

자리가 동일한 모든 우편번호를 조합하여 형성된 지리적 단위가 20,000명 보다 많은 수를 포함하

고, (ii) 20,000명 이하의 수를 포함하는 이러한 모든 지리적 단위의 우편번호의 앞 세 자리가 000으

로 변경되면 우편번호의 앞 세 자리는 제외됨; (C) 생일, 입원일, 퇴원일, 사망일을 포함하여 개인에

직접적으로 관련되는 일자에 대한 일자 (년을 제외)의 모든 요소, 및 89세 보다 많은 모든 연령과 이

러한 나이를 나타내는 일자 (년을 포함)의 모든 요소, 단, 90세 이상의 단일 범주로 종합할 수 있는 연

령 및 요소는 제외; (D) 전화 번호; (E) 팩스 번호; (F) 이메일주소; (G) 사회보장번호; (H) 의료기록번

호 (Medical record numbers); (I) 의료보험(Health Plan) 수혜자 번호; (J) 계좌번호; (K) 자격증/면

허 번호; (L) 차량 번호판 번호 포함한 차량 식별자 및 일련번호; (M) 기기 식별자 및 일련번호; (N) 웹

URL(Universal Resource Locator); (O) 인터넷프로토콜(IP)주소; (P) 지문이나 성문(voiceprint)을

포함한 생체인증 식별자; (Q) 얼굴 전체의 사진 및 그와 유사한 이미지; (R) 기타 고유한(unique) 식

별 번호, 특징 또는 코드.

세이프하버 방식은 전문가결정 방식에 비해 규칙을 직접적으로 적용할 수 있고 과정을 반복할 수

있으며 합법적으로 비식별화된 정보집합(dataset)이라는 알려진 결과의 가능성을 제공한다. 어떠

한 방식을 사용하더라도, 비식별조치를 수행하는 기관(covered entity)은 ‘정보주체인 개인을 식

별하기 위하여 정보를 단독으로 또는 다른 정보와 결합하여 사용될 수 있다는 실제적 지식을 가지

고 있지’ 않아야 한다.69 그러나 보건복지부는 단순히 재식별 기법의 존재를 아는 것은 ‘실제적 지

식’(actual knowledge) 기준에 부합하지 않는다는 특별 지침을 내렸다. 즉, 해당 기관이 개인을 식별

하기 위하여 보건정보를 재식별하는 방법에 관한 특정 연구를 알거나 비식별화된 보건정보를 단독

으로 또는 다른 정보와 결합하여 이용하는 것이 필연적으로 해당 기관이 세이프하버 방식에 따른 실

제적 지식을 갖고 있음을 의미하는가에 대하여 보건복지부는 다음의 답을 제시하였다.70 즉, 건강정

보를 식별하는 특정 방법으로 정보를 결합하는 일정한 분석기술과 정량화 능력을 가진 연구자들의

69 45 CFR §164.514(c).

70 Office of Civil Rights, supra note 67, p.28.

27

능력에 관한 많은 자료가 있다.71 개인을 식별하기 위하여 해당 기관은 나머지 정보를 식별하는 방법

에 관한 연구나 비식별화된 정보를 단독으로 또는 다른 정보와 결합하여 이용하는 연구를 알고 있을

수 있다. 그러나, 동 기관의 이러한 연구와 방법의 단순한 지식은 그 자체로서 동 기관이 공개하고 있

는 데이터와 함께 이러한 방법이 이용될 것이라는 실제적 지식을 갖고 있음을 의미하지 않는다. 보건

복지부 시민권국(OCR)은 해당 기관이 비식별화된 데이터의 모든 잠재적 수령자들의 이러한 능력을

추정할 것으로 기대하지 않는다고 한다. 이는 세이프하버 방식의 의도와 일치하지 않는데, 동 방식은

해당 기관에게 해당 정보가 적당하게 비식별화되었는지를 결정하는 간단한 방식을 제공하기 위한

것이기 때문이다.72

PHI를 포함하는 데이터와 비식별화된 데이터에 추가하여, HIPAA 프라이버시 규칙은 ‘제한된 정보

집합’(limited datasets)이라는 세 번째 유형의 데이터를 인정한다. 프라이버시 규칙에 따르면, 제

한된 정보집합은 부분적으로 비식별화되었지만 여전히 날짜, 시(city), 주(state), 우편번호, 및 연령

을 포함한다. 이러한 데이터는 PHI로 간주되지만, 해당 데이터를 공유하는 기관이 ‘데이터 이용 합

의’(data use agreement)를 실행하면, 연구, 공중보건, 의료보험 운영을 위하여 공유될 수 있다. 데

이터 이용 합의는 최소한 안전 보호조치(security safeguards)를 요구하고, 해당 데이터의 모든 이

용자가 유사하게 제한될 것으로 요구하며, 재식별, 허가 없이 다른 데이터와의 연결, 및 정보주체와

의 접촉을 금지하면 된다.73

2) FCC의 2016년 ISPs의 프라이버시 규칙

미국 연방통신위원회(Federal Communications Commission: FCC)는 2016년 10월 27일 브로

드밴드 제공자들, 즉 인터넷서비스 제공자들(internet service providers: ISPs)이 그들 가입자들

의 웹브라우징, 앱 이용, 위치 및 금융 정보에 대한 수집 및 제공에 대하여 그들 가입자들, 즉 소비자

의 동의를 요구하는 ‘브로드밴드 소비자 프라이버시 규칙’(Broadband Consumer Privacy Rules:

71 예컨대, Bradley Malin and Latanya Sweeney, “How (not) to protect genomic data privacy in a distributed network:

using trail re-identification to evaluate and design anonymity protection systems”, Journal of Biomedical Informatics,

Vol.37, Issue 3, (2004. 6), pp. 179-192; Latanya Sweeney, “Data sharing under HIPAA: 12 years later,” A presentation

at the Workshop on the HIPAA Privacy Rule’s De-Identification Standard, Washington, DC., (2010.03.08-09) 참조.

72 Office of Civil Rights, supra note 67, p.28.

73 U.S. DEPARTMENT OF HEALTH AND HUMAN SERVICES National Institutes of Health, “How Can Covered Entities

Use and Disclose Protected Health Information for Research and Comply with the Privacy Rule?,” available online at:

http://privacyruleandresearch.nih.gov/pr_08.asp.

28

BCPR)을 채택하였다.74

ISPs가 제공하는 서비스의 가입자, 즉 소비자는 동 서비스를 이용함으로써 ISPs에 자신의 매우 민

감한 개인정보를 포함한 개인정보를 전달하고 있다. ISPs는 자신의 인터넷 연결을 통과하는 이러

한 소비자의 브라우징 습관 등 상당한 분량의 개인정보를 들여다 볼 수 있다. 소비자가 자신과 자

신의 아동의 프라이버시를 보호하기 위하여 이러한 개인정보가 이용되고 공유되는 방식에 대한 결

정을 내릴 권리를 가져야 한다고 판단한 FCC는 ‘개방 인터넷 명령’(Open Internet Order)을 통하

여 브로드밴드 인터넷 접속 서비스를 통신서비스로 재분류한다. 통신법(Communications Act)

Section 222는 통신사업자가 소비자 정보의 프라이버시를 보호하도록 요구하는데, BCPR은 통신

법 Section 222가 규정한 프라이버시 요건을 이행하기 위하여 채택된 것이다. 소비자는 ISPs가 자

신의 개인정보를 수집하여 이용하고 공유함에 대한 ‘고지된 결정’(informed decisions)을 함으로써

자신의 개인정보 이용에 대하여 보다 큰 통제를 할 수 있게 된다.75 즉, BCPR은 ISPs가 소비자의 개

인정보를 이용하고 공유함에 있어서 소비자의 동의를 요구하는 체제를 수립하는데, 동 체제는 개인

정보의 민감성에 따른다.76 이렇게 소비자 동의를 요구하는 접근은 연방거래위원회(Federal Trade

Commission: FTC)와 미국 행정부의 ‘소비자 프라이버시 권리장전’(Consumer Privacy Bill of

Rights: CPBR)의 접근과 일치한다고 한다.77

BCPR은 브로드밴드서비스 제공자와 다른 통신사업자에게 적용된다. BCPR은 음성서비스 (voice

services)에도 적용되어, ‘과금기록정보’(call-detail record information)를 민감한 정보로 다룬다.

그러나, BCPR은 FTC의 관할권 아래 ‘에지 서비스’(edge services)와 웹사이트의 프라이버시 관행

에 적용되지 않는다. 따라서, 트위터(Twitter)나 페이스북(Facebook)과 같은 웹사이트나 앱의 프라

이버시 관행에는 적용되지 않는다. 또한, BCPR은 소셜미디어 웹사이트의 운영이나 정부의 감청, 암

호화 및 법집행과 같은 문제를 포함한 브로드밴드 제공자의 다른 서비스에 적용되지 않는다.

74 FCC News, “FCC adopts Privacy Rules to give broadband consumers increased choice, transparency and security for

their personal data”, (2016.10.27.), available online at: http://transition.fcc.gov/Daily_Releases/Daily_Business/2016/

db1027/DOC-341937A1.pdf. p.1. 동 결정은 Wheeler 위원장, Rosenworcel 위원의 찬성, Clyburn 위원의 일부 찬성 및 Pai

위원과 O’Rielly 위원의 반대로 확정되었다. 동 프라이버시 규칙의 원문은 다음을 참조: FCC, ”In the Matter of Protecting

the Privacy of Customers of Broadband and Other Telecommunications Services (WC Docket No. 16-106) Notice

of Proposed Rulemaking” FCC 16-39, (2016.04.01.), available online at: https://apps.fcc.gov/edocs_public/

attachmatch/FCC-16-39A1.pdf.

75 FCC는 이미 전화네트워크에 대한 소비자의 프라이버시를 보호하고 있었다.

76 이렇게 개인정보가 이용되는 방법이 아니라 개인정보의 민감성에 대한 연계는 소비자의 기대에 부응한다고 한다. FCC, “Fact

Sheet : The FCC adopts order to give broadband consumers increased choice over their personal information,“

(2016.10.27.), p.2, available online at: http://transition.fcc.gov/Daily_Releases/Daily_Business/2016/db1027/DOC-

341938A1.pdf.

77 FCC News, supra note 74, p.1.

29

빅데이터 분석기술과 관련하여 BCPR의 중요한 의의는 개별적인 소비자나 기기와 더 이상 연계되

지 못하도록 변경된, 즉 비식별화된 개인정보(de-identified information)를 의미하는 ‘총합적 소

비자 사유 정보’(aggregate customer proprietary information)를 규정한 것이다. 동 정보는 개

별 소비자 신원과 특징이 제거된 일정한 그룹이나 범주의 서비스나 소비자에 관련되는 집단데이터

(collective data)를 의미한다.78 이러한 정보의 이용과 공유는 원칙적으로 다른 개인정보와 달리 프

라이버시 문제를 야기하지 않을 것이다. 따라서 ISPs는 일반적인 소비자 데이터에 대한 동의 체제의

밖에서 이러한 비식별화된 개인정보, 즉 ‘총합적 소비자 사유 정보’를 이용하고 공유할 수 있다.

① 개인정보 이용과 공유의 세 가지 범주

BCPR은 소비자의 개인정보 이용과 공유를 세 가지 범주로 구별하는데, 소비자의 개인정보에 대한

투명성, 선택 및 보안 요건에 관하여 ISPs와 소비자에게 분명한 지침을 준다고 한다.79 첫째, 민감한

개인정보에 대한 옵트인 승인이다.80 ISPs는 소비자의 민감한 ‘사유 정보’(proprietary information)

를 이용하고 공유하기 위하여 소비자의 ‘긍정적인, 명시적인 동의’(affirmative, express consent),

즉 ‘옵트인’(opt-in) 동의를 얻어야 한다. BCPR이 명시한 민감한 개인정보는 휴대전화나 다른 기기

의 실제 위치와 같은 ‘정확한 지리위치’(precise geo-location), 금융정보, 건강정보, 아동의 정보

(children’s information), 사회보장번호, 웹브라우징기록(web browsing history), 앱이용기록

(app usage history) 및 통신내용(content of communication)을 포함한다.

둘째, 민감하지 않은 개인정보에 대한 옵트아웃 승인이다.81 위의 민감한 개인정보가 아닌 다른 모

든 개별적으로 식별가능한 소비자의 개인정보에 대하여 ISPs는 소비자가 옵트아웃 (opt-out) 하

지 않으면 이러한 개인정보를 이용하고 공유할 수 있다. 이메일주소와 서비스단계정보(service tier

information)와 같은 개인적으로 식별가능한 소비자의 정보는 민감하지 않다고 간주될 것이어서,

이러한 정보의 이용과 공유는 소비자의 기대에 일치하여 옵트아웃 동의를 받으면 된다.

셋째, 동의 요건에 대한 예외이다.82 브로드밴드서비스의 제공이나 동 서비스에 대한 계산청구와 징

수, 브로드밴드 제공자 네트워크의 기망적 이용으로부터 브로드밴드 제공자와 그 소비자의 보호, 소

비자가 이용하는 브로드밴드서비스와 함께 판매되는 서비스와 장치를 제공하고 판매하기 위한 민감

하지 않은 개인정보의 이용과 공유와 같이 법에 규정된 일정한 목적으로는 소비자의 동의가 추론된

78 47 CFR §64.7000(a).

79 FCC News, supra note 74, p.1; FCC, supra note 76, p.2.

80 47 CFR §64.7002(f) 및 47 CFR §64.7000(h).

81 47 CFR §64.7002(e) 및 47 CFR §64.7000(i).

82 47 CFR §64.7002(a).

30

다. 이러한 정보의 이용을 위하여 소비자-ISP 관계의 창설을 벗어나서 추가적인 소비자 동의가 요구

되지 않는다.

② BCPR의 다른 요건

위의 세 가지 요건 이외에 BCPR은 다음과 같은 요건도 포함한다. 첫째, 투명성 요건이다.83 ISPs는

소비자에게 수집한 정보, 동 정보가 어떻게 이용될 수 있으며 동 정보가 공유될 수 있는 자 및 소비자

가 자신의 프라이버시 선호도를 변경할 수 있는 방법에 대한 분명하고, 뚜렷하며 부단한 고지를 제공

해야 한다. 모바일브로드밴드 또는 고정브로드밴드를 제공하는 ISPs는 소비자에 대한 어떤 유형의

정보를 수집하는지 소비자에게 고지하고, 동 정보를 어떻게 무슨 목적으로 이용하고 공유하는지 명

시하며, 동 정보를 공유하는 자의 부류를 확인하여야 한다. 따라서, ISPs는 이러한 정보를 소비자가

서비스 이용에 서명할 때 고지하고, ISPs의 프라이버시정책이 상당하게 변경될 때 소비자에게 고지

하며, 이러한 정보는 부단하게 ISPs의 웹사이트나 모바일 앱에서 이용가능하여야 한다.84

둘째, 데이터 보안의 요건이다.85 브로드밴드서비스 제공자는 ISPs가 취해야 하는 것으로 고려해

야 하는 조치에 대한 지침과 합리적인 데이터 보안 관행을 수행해야 한다. FTC와 NIST의 보안요건

에 일치하여, 이러한 조치는 관련 산업의 모범관행의 시행, 적절한 책임의 제공과 보안 관행에 대

한 적절한 감시, 강력한 소비자 인증 장치의 시행, 및 FTC의 모범관행과 ‘소비자 프라이버시 권리장

전’(CPBR)에 일치하는 데이터의 적절한 처리를 포함한다.86

셋째, 상식적인 개인정보 침해 통지 요건이다.87 소비자는 자신의 개인정보가 침해되었을 때를 알 권

리를 가진다. ISPs가 소비자 데이터의 비밀성을 보호하고, 이렇게 보호하는데 실패한 것을 소비자와

법집행기관에게 통지하는 것을 권장하는데 필요한 ‘상식적인 개인정보 침해 통지’(common sense

data breach notification)가 요구된다.88 이러한 통지의 요구는 ISPs가 소비자의 개인정보가 불

법적으로 공개되었다고 결정할 때 발동되는데, ISPs가 합리적으로 피해가 발생하지 않을 것이라

고 결정하는 경우는 제외된다. 보고해야 하는 침해가 발생하면, ISPs는 다음의 조치를 취해야 한다:

i) ISPs는 피해를 입은 소비자에게 침해를 동 침해의 합리적 결정 후 30일이 경과하지 않는 가능한

한 조속하게 통지해야 한다; ii) FCC, FBI 및 비밀경호국(U.S. Secret Service)에게 5천명 이상의 소

83 47 CFR §64.7001.

84 FCC는 소비자자문위원회(Consumer Advisory Committee: CAC)로 하여금 자발적인 표준적 프라이버시 고지 형식을 개발하게

할 것이다.

85 47 CFR §64.7005.

86 데이터 보안 요건은 연방관보(Federal Register)에 BCPR의 요약이 게시된 90일 후 발효한다.

87 47 CFR §64.7006.

88 47 CFR §64.2011. 데이터 침해 통지 요건은 연방관보에 BCPR의 요약이 게시된 6개월 후 발효한다.

31

비자에게 영향을 주는 침해를 동 침해의 합리적 결정 후 7 근무일 보다 늦지 않게 통지하여야 한다;

iii) 5천명 미만의 소비자에게 영향을 주는 침해의 경우 해당 소비자에게 처음 통지되는 것과 동시에

FCC에 통지하여야 한다.

넷째, 금전적 유인으로부터의 소비자 보호이다. ISPs는 브로드밴드서비스 제공을 소비자의 법령이

보장한 프라이버시 권리의 포기 약속을 조건으로 하는 것이 금지된다.89 소비자의 개인정보의 이용

과 공유에 대한 명시적인 긍정적 동의를 대가로 할인이나 다른 유인을 제공하는 소위 ‘프라이버시 지

불’(pay for privacy)의 제의에 대하여, FCC는 서비스 가격을 프라이버시 보호에 관련시키는 프로

그램의 정당성을 사안별로 검토할 것이다.90 따라서 소비자는 부풀어진 가격의 지불과 프라이버시의

유지 사이에서 선택을 강요받지 않게 된다. 또한, ‘하거나 말거나’(take-it-or-leave-it) 제안이 금지

되어서, ISPs는 상업적 목적으로 자신의 개인정보의 이용과 공유에 동의하지 않는 소비자에게 서비

스를 제공하는 것을 거부할 수 없다.91

③ ‘총합적 소비자 사유 정보’의 보호

개별적인 소비자나 기기와 더 이상 연계되지 못하도록 변경된, 즉 비식별개인정보(de-identified

information)의 이용과 공유는 원칙적으로 일반적인 개인정보와 달리 프라이버시 문제를 야기하

지 않을 것이다. 따라서 ISPs는 일반적인 소비자 데이터에 대한 동의 체제의 밖에서 비식별개인정보

를 이용하고 공유할 수 있다. BCPR에서 이러한 비식별개인정보를 의미하는 ‘총합적 소비자 사유 정

보’(aggregate customer proprietary information)는 개별 소비자의 신원과 특징이 제거된 일정

한 그룹이나 범주의 서비스나 소비자에 관련되는 집단데이터(collective data)를 의미한다.92

그럼에도 ISPs는 이러한 비식별화된 개인정보, 즉 ‘총합적 소비자 사유 정보’를 용이하게 재식별할

수 있는 기술적 능력과 그러한 유인을 가질 수 있다. ISPs가 BCPR의 동의 체제 밖에서 개인정보의

이용과 공유에서 비식별화(de-identification)에 의지하려 한다면, 재식별화(re-identification)를

방지하기 위하여 2012년 FTC가 처음 개발한 시험을 충족해야 할 것이다.93 즉, ISPs는 첫째, ‘총합적

소비자 사유 정보’가 특정 개인에게 합리적으로 연결되지 않는다고 결정하고, 둘째, ‘총합적 소비자

사유 정보’를 개별적으로 식별될 수 없는 형식으로 유지하고 또한 동 정보를 재식별하지 않는다고 공

개적으로 약속하며, 셋째, ‘총합적 소비자 사유 정보’를 공개하거나 접근하도록 허가한 자가 동 정보

89 47 CFR §64.7004.

90 FCC, supra note 76, p.3.

91 47 CFR §64.7004.

92 47 CFR §64.7000(a).

93 FCC, supra note 76, pp.2-3.

32

를 재식별하는 것을 계약적으로 금지하고, 넷째, 이러한 계약이 위반되지 않도록 보장하도록 합리적

인 감시를 수행해야 한다.94 개별적 소비자 신원과 특징이 ‘총합적 소비자 사유 정보’로부터 제거되었

음의 입증책임은 ISPs에게 있다.95

나. 일본의 비식별조치

일본의 개인정보보호법은 민간부문의 개인정보보호에 관한 법률로서 2003년 5월 제정·공포되고

2005년 4월부터 시행되었는데, 기본이념, 국가의 책무 시행, 기본방침의 책정 등을 규정하면서, 개인

정보취급사업자의 의무 등을 분야별로 정리하여 기본법적 성격을 가진다. 공공부문을 위하여 국가행정

기관에 대한 법률, 독립행정법인 등에 대한 법률 및 지방공공단체 등에 대한 조례가 있다. 그런데, 빅데

이터 등 데이터 활용을 통한 새로운 산업과 서비스 창출이 가능하도록 2014년 6월 개인정보보호법 개

정이 예고되었고, 2015년 3월 정부안이 확정되었으며, 동년 9월 3일 중의원 본회의에서 가결되었다.96

동 개정에 따라, 개인정보보호와 개인정보 활용의 유용성 확보를 위하여 개인정보의 정의 규정이 명확

하게 되고, 본인의 동의 없는 제공이 가능하도록 ‘익명가공정보’ 개념이 신설되었다. 빅데이터 관련하여

일본의 개인정보보호법의 가장 중요한 내용은 익명가공정보의 도입이다.97 또한, 개인정보 취급 감시

감독 권한을 가진 ‘제3기관’인 개인정보보호위원회가 설치되고, 국외 제3자에 대한 정보 제공의 제한이

명문화되었다.

1) 특정 이용목적을 위한 개인정보의 취급

일본의 개정된 개인정보보호법에 따라 개인정보를 취급하는 개인정보취급사업자는 개인정보의 이

용목적을 가능한 한 특정하여야 한다. 이용목적을 변경하는 경우에는 변경 전 이용목적과 관련성이

있다고 합리적으로 인정되는 범위를 초과해서는 안 된다.98 개정 전에는 변경 전 이용목적과 ‘상당한’

관련성을 요구하였으나, 개정된 개인정보보호법에서 동 문언이 삭제되었다. 또한 원칙적으로 모든

이용 목적에 대하여 본인의 동의를 받아야 하며, 동의를 받지 않고 그 이용목적 달성에 필요한 범위

를 초과하여 개인정보를 취급하는 것은 금지된다.99 다만, 법령에 의거한 경우, 사람의 생명·신체·재

산의 보호를 위하여 필요한 경우로서 본인의 동의를 받기 곤란한 경우, 공중위생의 향상 또는 아동의

건전한 육성 추진을 위해 특히 필요한 경우로서 본인의 동의를 받기 곤란한 경우, 국가기관, 지방공

공단체 또는 그 위탁을 받은 자가 법령에 정한 사무를 수행함에 있어 협력이 필요한 경우로서, 본인

94 47 CFR §64.7002(g).

95 47 CFR §64.7002(g).

96 �個人情報の保護に関する法律（平成15年法律第57号）97 일본 개인정보보호법의 익명가공정보에 관한 내용은 아직 효력을 발생하지 않고 있다.

98 일본개인정보보호법 제15조.

99 일본개인정보보호법 제16조 제1항.

33

의 동의를 받도록 하면 당해 사무의 수행에 지장을 초래할 우려가 있는 경우에는 예외가 인정된다.100

일본 개인정보보호법은 개인정보의 목적 외 처리를 규정하고 있으나, 개인정보의 목적 외 이용 및 개

인데이터의 제3자 제공에 대하여 정보주체의 동의를 받을 것을 의무화하고 있다. 당초에는 상정하지

않았던 새로운 이용목적이 발생하거나 예정되지 않았던 제3자 제공을 하는 경우에는, 해당되는 본인

전부로부터 동의를 받아야 하고, 이는 개인정보를 이용한 신규 사업을 저해하는 하는 상황으로 이어질

수 있다는 점이 지적되어 왔다. 이에 다음과 같은 익명가공정보가 새로이 도입된 것으로 볼 수 있다.

2) 익명가공정보

일본 개인정보보호법에서 빅데이터 분석기술 등 개인정보의 활용에는 목적 외 처리 규정이 아니라

‘익명가공정보’ 규정이 관련되는 것으로 보인다. 개인정보에 해당하지 않도록 데이터를 가공하여 ‘익

명화’함으로써 정보주체의 프라이버시를 보호하면서 활용이 가능하도록 하고, 이와 같이 가공된 정

보를 ‘익명가공정보’로서 새로이 정의하여, 정보주체의 동의 없이도 해당 정보를 이용하고 제공할 수

있게 한 것이다.101

① 익명가공정보

익명가공정보는 특정 개인을 식별할 수 없도록 개인정보를 가공하여 얻어지는 개인에 관한 정보로

서, 당해 개인정보를 복원할 수 없도록 만든 정보이다.102 즉, 개인정보의 정의 각호에서 개인정보로

서 식별되는 부분을 삭제하고 이를 복원할 수 없게 가공함으로써 익명성을 유지하도록 만든 것이다.

특정 익명가공정보를 컴퓨터를 이용하여 검색할 수 있도록 체계적으로 구성한 것을 사업의 용도로

취급하거나 제공하는 자는 익명가공정보취급사업자로서 의무를 부담하게 된다.103

② 익명가공정보 취급규칙

일본 개인정보보호법을 개정하는 과정에서 특정 개인을 식별할 가능성을 감소시키기 위하여 가공을

100 일본개인정보보호법 제16조 제3항.

101 大場�敏行,�“約10年ぶりの改正：新しい個人情報保護法とその影響�前編”,�デロイトトーマツサイバーセキュリティ先端研究所�ニュースレター,�Vol.4,�(2016.1.22.).

102 일본개인정보보호법 제2조 제9항. 익명가공정보란 다음의 각호에 해당하는 개인정보 구분에 대응하고 해당 각호에 정하는 조치를

취하여 특정 개인을 식별할 수 없도록 개인정보를 가공하여 얻는 개인에 관한 정보로서, 해당 개인정보를 복원할 수 없도록 한 것을

말한다: 제1호. 제1항 제1호에 해당하는 개인정보. 당해 개인정보에 포함된 기술 등의 일부를 삭제하는 것(당해 일부 기술 등을

복원할 수 있는 규칙성을 가지지 않은 방법에 의해 다른 기술 등으로 대체하는 것을 포함); 제2호: 제1항 제2호에 해당하는 개인정보.

당해 개인정보에 포함되는 개인식별부호의 전부를 삭제하는 것(당해 개인식별부호를 복원할 수 있는 규칙성을 가지지 않은 방법에

의해 다른 기술 등으로 대체하는 것을 포함).

103 일본개인정보보호법 제2조 제10항. 익명가공정보취급사업자는 익명가공정보를 포함하는 정보 집합물로서 특정 익명가공정보를

전자계산기를 이용하여 검색할 수 있도록 체계적으로 구성한 것 기타 특정 익명가공정보를 용이하게 검색할 수 있도록 체계적으로

구성한 것으로서 정령으로 정한 것(제36조 제1항의 익명가공정보데이터베이스등)을 사업용으로 제공하고 있는 자를 말한다.

34

하더라도 완전히 개인을 특정할 수 없는 정보로 가공하는 방법을 정하는 것은 어렵다는 점이 지적되

었다.104 때문에 익명가공정보는 특정 개인이 식별될 위험을 염두에 두고 가공한 정보로 평가되고 있

으며, 그 적정한 취급을 위한 규칙이 다음과 같이 마련되어 있다.105

익명가공정보 취급에 관한 절차로는 익명가공정보의 작성, 익명가공정보의 제공, 식별행위의 금지,

안전관리조치 등이 규정되어 있다. 먼저, 익명가공정보를 작성하는 경우에는 개인정보보호위원회규

칙이 정하는 바에 따라 특정 개인을 식별할 수 없도록 하고, 그 작성에 사용된 개인정보를 복원할 수

없도록 당해 개인정보를 가공하여야 한다.106 익명가공정보를 작성한 때에는 개인정보보호위원회규

칙이 정하는 기준에 따라, 가공방법에 관한 정보 유출을 방지하기 위해 필요한 대책으로서 이들 정보

의 안전관리조치를 강구하여야 한다.107 또한 그 익명가공정보에 포함되는 개인정보의 항목을 공표

하여야 한다. 익명가공정보를 작성한 후에도 특정 개인을 식별할 가능성이 완전히 없어지는 것은 아

니므로, 제3자에게 제공하는 경우에 익명가공데이터에 포함되는 항목을 미리 공표함으로써 개인의

권익을 보호하고 투명성을 확보하는 것이 목적이다. 해당 항목으로는 거주 지역, 연령, 구입상품명,

제공된 익명가공데이터의 종류와 포함된 사항 등을 들 수 있다. 익명가공정보를 작성한 후에는 그 익

명가공정보를 다른 정보와 조합하여 복원하는 것이 금지된다. 때문에 익명가공정보를 작성한 사업

자 자신이 그 정보를 취급하는 경우에도, 익명가공정보의 작성에 사용된 개인정보에 관하여 본인을

식별하는 것은 허용되지 않는다.108

익명가공정보취급사업자가 익명가공정보를 제3자에게 제공하는 때에는, 제3자에게 제공되는 익명

가공정보에 포함된 개인정보의 항목과 그 제공방법에 대하여, 개인정보보호위원회규칙이 정하는 사

항을 공표하여야 한다. 또한 제공하는 정보가 익명가공정보라는 사실을 명시하여야 한다.109

익명가공정보를 작성한 사업자가 개인정보로 복원하는 것은 금지되며, 익명가공정보취급사업자는

104 �新保�史生,�“個人情報保護法改正のポイントを学ぶ（7）:�匿名加工情報の取り扱い”,�国民生活�(2016.04),�p.�26.105 일본개인정보보호법 제2절 익명가공정보취급사업자등의 의무. 2016년 6월 현재 일본 개인정보보호위원회는 익명가공정보의

가공방법과 안전관리 등에 관한 규칙을 제정하기 위하여 그 내용을 검토 중에 있다.�個人情報保護委員會事務局,�“改正個人情報保護法の�槪要と施行に向けた�取組について”,�(2016.6),�pp.8-9.

106 일본개인정보보호법 제36조 (익명가공정보의 작성등) 제1항. 익명가공정보 작성 시, 특정 개인을 식별하는 것과 그 작성에 이용되는

개인정보를 복원할 수 없도록 하기 위해 필요한 것으로서 개인정보보호위원회규칙에 정한 기준에 따라 당해 개인정보를 가공해야

한다.

107 일본개인정보보호법 제36조 제6항.

108 일본개인정보보호법 제36조 제5항.

109 일본개인정보보호법 제37조 (익명가공정보의 제공) 익명가공정보를 제3자에게 제공하는 경우에는 개인정보보호위원회 규칙에서

정하는 바에 따라, 제3자에게 제공되는 익명가공정보에 포함되는 개인에 관한 정보의 항목 및 그 제공 방법에 대하여 공표함과

동시에, 당해 제3자에 대해서 당해 제공에 관련된 정보가 익명가공정보임을 명시하여야 한다.

35

식별행위 금지의무가 있다.110 완전한 익명가공정보를 작성 및 가공하는 방법을 정하는 것이 불가능

한 현실에서, 일반적으로 공개된 정보와 기존에 보유하고 있는 정보를 취합하거나 분석함으로써 특정

개인을 식별할 가능성이 있다. 이와 같은 처리를 의도적으로 시행하는 것은 금지되며. 의도하지 않게

식별되는 일이 없도록, 자신이 보유한 개인정보와 혼동하여 취급하지 않도록 주의가 필요하다.111

익명가공정보의 안전관리를 위해 필요하고 적절한 조치, 익명가공정보의 취급에 관한 고충 처리, 기

타 익명가공정보의 적정한 취급을 확보하기 위하여 필요한 조치를 강구하고, 당해 조치의 내용을 공

표하도록 노력하여야 한다.112 익명가공정보는 그 가공방법 등이 공개되면 특정 개인에 대한 식별이

가능할 수 있는 정보이다. 때문에 그 취급에 관하여 안전관리조치를 모색하는 것이 필수적이며, 또한

종업원과 수탁업자에 대한 감독도 필요하다.

다. 미국과 일본의 비식별조치 평가

미국의 HIPAA 프라이버시 규칙과 FCC의 ISPs 프라이버시 규칙 및 일본 개인정보보호법의 비식별조치

는 다음과 같은 점에서 유사점을 가진다. 첫째, 개인정보를 변형(미국) 또는 가공(일본)하여 정보주체와

정보가 실질적으로 연결될 수 없다는 합리적 기대를 가지게 하거나(미국) 개인정보를 복원할 수 없도록

하는 것(일본)을 의미하는 점에서 이러한 조치는 GDPR의 익명처리에 가깝다고 볼 수 있다.113 HIPAA

프라이버시 규칙에 따라 전문가가 i) 비식별처리된 정보가 단독으로 정보주체를 식별할 수 있는 위험성

이 매우 적다고 판단하거나, ii) 합리적으로 이용가능한 정보와의 결합을 통하여도 정보주체를 식별할

수 있는 위험성이 매우 적다고 판단하는 경우에 해당 정보는 비식별정보가 된다. 이처럼 단독으로 또는

110 일본개인정보보호법 제38조 (식별행위의 금지) 익명가공정보취급사업자는, 익명가공정보를 취급함에 있어 당해 익명가공정보의

작성이 이용된 개인정보에 관한 본인을 식별하기 위해서 당해 개인정보에서 삭제된 기술등 또는 개인식별부호 또는 제36조 제1항의

규정에 의해 행해진 가공방법에 관한 정보를 취득하거나, 또는 당해 익명가공정보를 다른 정보와 조합(照合)해서는 안 된다.

111 �新保�史生, supra note 104, p.27.

112 일본개인정보보호법 제39조 (안전관리조치등) 익명가공정보취급사업자는, 익명가공정보의 안전관리를 위해 필요하고 적절한 조치,

익명가공정보의 취급에 관한 고충 처리, 기타 익명가공정보의 적정한 취급을 확보하기 위하여 필요한 조치를 스스로 강구하고, 당해

조치의 내용을 공표하도록 노력해야 한다.

113 일본의 익명가공정보가 GDPR의 가명처리정보에 해당한다고 보는 견해가 있으나, 그러한 해석에는 다음과 같은 문제가

제기된다. 첫째, 일본의 익명가공정보는 그 정의에서 해당 개인정보를 복원할 수 없을 것을 명시적으로 요구하고 있으므로, 이는

가명처리정보가 아닌 익명처리정보에 해당할 것이다. 둘째, 익명처리정보를 개인정보로 보지 않고 가명처리정보를 개인정보로 보는

GDPR의 해석에 따른다면, 개인정보에 해당하지 않는 일본의 익명가공정보는 GDPR의 익명처리정보에 더 가깝다고 보는 것이

타당하다. 셋째, 일본의 익명가공정보를 GDPR의 가명처리정보로 해석하는 것은 일본 개인정보보호법이 다른 정보와 조합하여

익명가공정보를 복원하는 것을 금지하고, 해당 정보의 식별행위를 금지하기 때문일 것이다. 그러나 이러한 재식별금지 규정을 근거로

해당 정보를 가명처리정보로 해석하는 것은 옳지 않다. 미국과 마찬가지로, 일본의 개인정보보호법은 개인정보의 완벽한 익명처리가

현실적으로 가능하지 않다는 사실을 고려하고 있다. 즉, 개인정보의 가역 또는 재식별을 금지하는 규정은 익명가공정보(또는 미국의

비식별정보)가 가명처리정보에 해당하기 때문이 아니라, 만에 하나 익명처리정보가 기술적으로 재식별이 가능한 경우를 고려하여

규정된 것이라 보아야 한다.

36

다른 정보와의 결합을 통하여도 개인을 식별할 수 없는 경우에 비식별정보가 된다면, 그러한 정보는 가

명처리정보가 아닌 익명처리정보에 해당할 것이다.

둘째, 미국과 일본의 관련 법제는 비식별정보, 비식별건강정보 및 익명가공정보를 개인정보로 보지 않

는 한편, 개인정보의 완벽한 익명처리가 불가능하다는 인식에 따라, 이러한 익명처리정보의 가역 또

는 재식별을 금지하는 규정을 함께 두고 있다. 특히 FCC의 ISPs 프라이버시 규칙이 개인정보처리자

(covered entity)로 하여금 재식별 금지를 약속하도록 요구하거나, 수령인으로 하여금 비식별정보의

재식별을 금지하는 계약적 의무를 부여하는 것은 해당 정보가 가명처리정보에 해당하기 때문이 아니

라 그러한 익명처리정보가 재식별될 수 있는 기술적 가능성이 있기 때문이다.114 일본 개인정보보호법

이 익명가공정보를 개인정보가 복원될 수 없도록 가공된 정보로 정의하면서도 이러한 익명가공정보의

재식별을 금지하는 규정을 별도로 명시하는 것은 개인정보의 완전한 익명처리가 현실적으로 불가능하

다는 우려를 반영한 것으로 보아야 할 것이다. 한편, GDPR도 미국 HIPAA 프라이버시 규칙과 유사하게,

‘합리적으로 이용가능한 모든 수단’(all the means reasonably likely to be used)을 동원하더라도 개

인정보처리자 또는 제3자가 개인을 식별할 수 없는 경우를 익명처리로 본다.115

5. 결어: 빅데이터 분석기술 활용을 위한 한국의 개인정보보호법 개정 방안

2016년 6월 30일 행정자치부(개인정보보호법 관장), 방송통신위원회(정보통신망법 관장), 금융위원

회(신용정보법 관장), 보건복지부(의료법 관장) 등 개인정보보호 관련 법률의 담당 부처들은 개인정보

비식별 조치 가이드라인을 발표하였다.116 관련 부처가 개인정보 비식별조치와 관련하여 기존에 발간

한 지침, 안내서, 가이드라인 등은 일괄 폐지되고 2016년 7월 1일부터 2016년 가이드라인이 적용되

고 있다. 2016년 가이드라인은 정보주체를 알아볼 수 없도록 처리된 비식별정보를 개인정보가 아닌

것으로 ‘추정’하고 이러한 ‘비식별정보’의 빅데이터 분석을 허용하고 있다. 동 가이드라인은 비식별정보

를 익명처리정보로서 추정하고 있는데, 이러한 접근 방식은 미국 또는 일본의 법제를 주로 반영한 것으

로 보인다.

114 이처럼 완전한 익명처리에 대한 불확신은 HIPAA 프라이버시 규칙에서 분명하게 드러난다. 동 규칙은 전문가로 하여금 정보주체를

더 이상 식별할 수 없다는 사실을 판단할 것을 요구하지 않고 정보주체를 식별할 수 있는 위험성이 ‘매우 적다’(very small)는 사실을

판단할 것을 요구하기 때문이다. Benjamin R. Jefferys et al, “Navigating legal constraints in clinical data warehousing:

a case study in personalized medicine,” Interface Focus, Vol. 3, Issue 2, (2013.04.06.), available online at: http://

rsfs.royalsocietypublishing.org/content/3/2/20120088.

115 GDPR Recital (26).

116 ‘개인정보 비식별 조치 가이드라인 -비식별 조치 기준 및 지원·관리체계 안내-’(이하 ‘2016년 가이드라인’이라고 함). 흥미롭게도

개인정보보호위원회는 동 가이드라인의 마련에 공식적으로 참여하지 않은 것으로 보인다.

37

그러나, 2016년 가이드라인 보다는 유럽연합의 GDPR의 접근이 빅데이터 분석기술의 활성화를 위하

여 또한 정보주체의 지속적인 보호를 위하여 보다 바람직하다고 사료된다. 첫째, 미국과 일본의 법제가

취하고 있는 방식의 가장 큰 문제는, 개인정보의 완전한 익명처리에 대한 확신이 존재하지 않는 상황에

서, 더 이상 개인정보로 취급되지 않아서 개인정보보호 법제의 적용에서 배제되는 비식별정보 내지 익

명가공정보가 중심이 되는 것이다.117 빅데이터 분석기술을 촉진하고 장려하는 과정에서 개인정보보호

법의 적용여부는 매우 중요한 문제이다. 2016년 GDPR이 기존 1995년 개인정보보호지침에는 존재하

지 않았던 가명처리 개념을 도입한 이유는 개인정보보호와 개인정보의 활용이라는 두 보호법익을 법

의 테두리 안에서 균형되게 규율하기 위함이다. 가명처리를 GDPR의 적용범위에 공식적으로 도입한 것

은 가명처리정보의 활용을 허용하면서 개인정보처리자의 안전조치의무, 정보주체의 권리행사와 같은

일련의 개인정보보호 법원칙을 빅데이터 분석기술에서도 적용하게 한다는 점에서 의미가 있다. 예컨

대, 가명처리는 GDPR이 최초로 도입한 ‘개인정보보호 중심 설계’(data protection by design)’의 핵심

이다. 즉, 개인정보처리자는 ‘처리 수단의 결정 시점과 처리 자체의 시점에서’ GDPR의 요건을 충족하고

정보주체의 권리를 보호하기 위하여 개인정보보호 원칙을 효과적으로 이행하기 위한 적절한 기술적 조

치를 이행하여야 한다.118 이러한 기술적 조치의 핵심은 가명처리이다. 이처럼 GDPR의 가명처리 규정

은 개인정보처리자로 하여금 개인정보의 활용을 허용하는 동시에, 정보주체의 권리보호를 위하여 장려

되는 안전장치로서의 기능을 하고 있다. 또한 GDPR은 빅데이터 분석기술에 사용되는 프로파일링을 포

함한 자동화된 방식에 의하여 처리되는 개인정보를 별도로 규율하고 있다. 즉, GDPR은 프로파일링을

허용하면서도, 그러한 대규모 개인정보파일의 처리에 따른 정보주체의 권리 침해를 최소화하기 위한

여러 규정을 마련하고 있다. 개인정보보호법이 익명처리와 가명처리를 구분하지 않는 상황에서 2016

년 가이드라인이 비식별처리된 개인정보를 익명처리정보로 추정하고 그러한 정보를 일률적으로 개인

정보로서 취급하지 않는다면, 개인정보의 활용과 개인정보보호라는 두 가지 법익 사이에서 전자의 측

면을 지나치게 강조한 것이라는 비판을 받을 수 있다. 둘째, 개인정보의 완전한 익명처리가 가능한지

에 대한 기술적이고 현실적인 우려를 고려할 때, 가명처리정보가 익명처리정보에 비교하여 법적 규율

의 관점에서 보다 안정적이고 효과적이다. 익명처리 기법에 관한 제29조 작업반의 의견에 따르면, 식

별가능한 원본 데이터를 삭제하지 않은 상황에서, 식별 가능한 데이터를 제거한 원본 데이터의 일부분

을 양도하더라도, 즉 제공되는 정보에 직접 식별자(direct identifiers)가 제거되었다 하더라도, 개인정

보처리자 또는 제3자가 ‘식별가능한 원본 데이터에 접근할 수 있다면’ 제공되는 정보는 익명처리정보가

아니라 개인정보가 된다.119 다시 말해, 제3자에게 제공된 데이터에 직접 식별자가 제거되었다 하더라

도, 개인정보처리자(controller) 또는 제3자가 식별가능한 원본 데이터에 접근할 수 있는 경우, 해당 데

117 더욱이 2016년 가이드라인은 그의 법적 지위로 말미암아 현실적인 ‘힘’과 ‘정당성’을 가지기 어려울 것이고, 따라서 동 가이드라인의

중심 개념인 익명조치 내지 비식별조치는 정식으로 개인정보보호법에 도입되어야 할 것이다.

118 GDPR 제25(1)조.

119 Article 29 Data Protection Working Party, supra note 23, p.9.

38

이터는 가역성을 가지므로 익명처리정보가 아닌 개인정보가 된다는 것이다. 결국 제29조 작업반 의견

의 핵심은 익명처리정보는 불가역성을 가져야하므로, 식별가능한 원본 데이터에 대한 접근으로 인하여

개인정보로 가역(reversal)될 수 있는 가능성이 존재하는 경우에, 1995년 개인정보보호지침의 적용

을 배제해서는 안 된다는 것이다.120 제29조 작업반이 ‘식별가능한 원본 데이터의 존재’를 별도로 논의

한 이유는, 동 작업반 해석의 대상이 1995년 개인정보보호지침이고, 동 지침은 가명처리 및 가명처리

정보를 명시적으로 규율하고 있지 않기 때문일 것이다. 따라서 1995년 개인정보보호지침과 달리, 가

명처리를 규율하고 있는 2016년 GDPR에 따라 개인정보처리자가 보유하고 있는 원본 데이터는, 추가

적으로 결합하여 개인정보의 재식별을 가능케 하는 ‘추가적 정보’(additional information)에 상응하는

개념이라 볼 수 있다. 다만, 제29조 작업반은 원본 데이터가 개인정보처리자 또는 제3자에게 접근가능

한 경우만을 상정하고 있는 반면, GDPR은 그러한 추가적 정보를 별도로 보관하고 그에 대한 기술적·관

리적 조치를 보다 중요하게 요구하고 있다는 차이가 존재한다. 익명처리정보보다 가명처리정보의 규율

이 보다 현실적인 이유는, 사업자인 개인정보처리자의 입장에서 개인정보의 활용을 위하여 자신이 보

유하고 있는 식별가능한 개인정보를 스스로 익명처리하는 상황을 기대하기 어렵기 때문이다. 개인정보

처리자로 하여금 원본 데이터와 같이 추가적 결합을 통하여 개인을 식별할 수 있는 추가적 정보를 삭제

할 것을 요구하는 것보다, 이러한 추가적 정보를 별도로 보관할 것을 요구하고 그에 대한 안전조치의무

를 부여하는 것이 보다 더 현실적이기 때문이다. GDPR에서 규정하는 가명처리정보는 개인정보에 해당

한다. 흥미롭게도 2016년 가이드라인은 가명처리를 ‘비식별 조치’ 중 하나로 포함시키면서, 이러한 비

식별 조치에 따른 정보는 더 이상 개인정보에 해당하지 않는다고 설명하고 있다.121 그러나 동 가이드라

인에 따른 ‘비식별 조치’는 개인을 더 이상 식별할 수 없고, 개인정보보호법의 적용을 벗어나는 점에서

GDPR의 익명처리와 사실상 같은 개념일 것이다. GDPR은 추가적 정보와의 결합을 통하여 개인을 식별

할 수 있는 가명처리정보를 익명처리정보와 달리 개인정보에 포함시키고 있으므로, 가명처리정보가 개

인정보에 해당하지 않는다는 2016년 가이드라인은 GDPR의 관련 규정과는 다른 입장을 취하고 있는

것으로 볼 수 있다.

GDPR의 목적 외 처리 및 가명처리 관련 규정을 반영하여, 정보주체의 보호라는 개인정보보호법의 근

본적 목적을 훼손하지 않으면서, 목적 외 이용·제공에 따른 개인정보의 활용을 도모하기 위한 개인정보

보호법의 개정 방안은 다음과 같다. 첫째, 개인정보보호법 제2조 정의 조항에서 GDPR에서와 같은 ‘가

명처리’ 개념을 도입하고, 제3조 제7항에서 ‘익명처리’ 대신에 이를 권고한다. 익명처리정보는 더 이상

개인정보가 되지 않기 때문에 개인정보보호법의 적용대상이 될 수 없다. 또한, 오늘날 기술의 급속한 발

120 Article 29 Data Protection Working Party, supra note 23, p.16.

121 다만, 2016년 가이드라인은 가명처리 기법만 단독 활용된 경우는 충분한 비식별 조치로 보기 어렵다고 첨언하고 있다. 2016년

가이드라인, supra note 116, p.7.

39

전으로 완전한 익명처리는 비현실적이라는 점에서, 법적으로 개인정보의 불가역성을 요구하는 것은 무

리라고 할 것이다. 둘째, 목적 외 이용·제공을 허용하는 개인정보보호법 제18조 제2항의 제4호는 다음

과 같이 개정될 수 있다. 즉, 개인정보처리자는 통계 및 연구 등 목적에 따라 자신이 보유하고 있는 개인

정보를 스스로 가명처리하여 이를 활용하는 것이 허용되어야 할 것이다. 또한, 제18조 제2항 제4호를

설명하고 있는 현행 표준지침 제8조 제4항은 익명처리가 아닌 가명처리를 의미하는 방식으로 개정되

어야 할 것이다.

제18조(개인정보의 목적 외 이용·제공 제한)

② 제1항에도 불구하고 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체 또는 제3자의 이익을 부당하

게 침해할 우려가 있을 때를 제외하고는 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공할 수 있다. 다만, 제

5호부터 제9호까지의 경우는 공공기관의 경우로 한정한다. ...

4. 통계 및 연구 등의 목적을 위하여 필요한 경우로서 특정 개인을 알아볼 수 없는 형태로 가명처리하여 이용·제공하는 경우

(개정안 강조)

[표2] 개인정보보호법 제18조 제2항 제4호의 개정안

셋째, 개인정보처리자의 의무, 정보주체의 권리 등 가명처리에 대한 관련 규정을 재정비한다. 이러한 규

정에는 프로파일링 관련 규정, 가명처리에 관하여 개인정보처리자에게 부여되는 안전장치의무, 가명처

리정보의 불법적인 가역 또는 재식별화의 금지 및 처벌 등이 포함될 수 있다. 넷째, 개인정보의 이용 및

제공의 유연성을 확대하기 위하여, 개인정보보호법 제1조에 개인정보의 활용이라는 목적이 추가되어

야 할 것이다. 현행 개인정보보호법은 개인의 자유와 권리에 대한 보호만을 목적으로 천명하고 있는데,

개인정보보호법이 개인정보의 활용에 따른 국민 편의, 복지 증진, 국가 경제 활성화의 도모도 함께 고려

해야 할 필요가 있다.122

한편, 미국 및 일본의 법제를 반영한다면, 개인정보보호법은 다음과 같이 개정될 수 있다. 첫째, 주요 개

념의 정의 조항에서 미국의 비식별정보(de-identified data) 또는 일본의 익명가공정보와 같이 비식별

조치가 취해진 정보를 별도로 정의한다. 둘째, 상기 정의된 비식별정보는 개인정보에 해당하지 않는다

는 사실을 명시하여, 해당 정보를 개인정보보호법의 적용 범위에서 배제한다. 셋째, 비식별정보의 재식

별화를 금지하는 관련 규정을 마련한다.

122 GDPR은 정보주체의 권리뿐만 아니라, 유럽연합 내의 개인정보의 자유로운 이동을 동 규정의 목적으로 함께 규정하고 있다. 대한민국

정보통신망법 역시 제1조에서 ‘정보통신망의 이용을 촉진하고 정보통신서비스를 이용하는 자의 개인정보를 보호함과 아울러

정보통신망을 건전하고 안전하게 이용할 수 있는 환경을 조성하여 국민생활의 향상과 공공복리의 증진에 이바지함’을 목적으로

천명하고 있다. 또한 신용정보보호법 제1조 역시 “이 법은 신용정보업을 건전하게 육성하고 신용정보의 효율적 이용과 체계적 관리를

도모하며 신용정보의 오용ㆍ남용으로부터 사생활의 비밀 등을 적절히 보호함으로써 건전한 신용질서의 확립에 이바지함을 목적으로

한다”고 규정한다. 두 법은 개인정보보호와 함께 정보통신망 이용의 촉진, 신용정보의 효율적 이용을 법률이 보호하는 법익으로서

천명하고 있다.

40

결론적으로 21세기 디지털경제에서 빅데이터 분석기술 등을 통한 개인정보 이용의 활성화는 결코 피

하거나 억제할 수 없는 것이지만, 동시에 국가나 국제사회에서의 기본적인 구성원인 개인의 개인정보

보호도 결코 양보될 수 없다. 이 점에서 빅데이터 분석기술과 개인정보보호는 함께 가야 할 것이고, 이

러한 개인정보 활용은 개인정보보호를 내재하면서 허용되어야 할 것이다. 앞에서 빅데이터 분석기술과

개인정보보호의 조화에 관하여 유럽연합, 미국과 일본의 관련 법제도를 검토하였는데, 개인정보의 비

식별화 내지 익명조치에 중점을 두는 미국과 일본의 접근 보다는 목적 외 처리로서 가명조치를 포함하

는 유럽연합의 접근이 보다 현실적이고 법적으로 안정적이라고 판단된다. 특히 가명조치가 익명조치

보다 선호되는 것은 가역성이라는 점에서 익명조치는 결코 완전하지 않으며, 또한 익명조치와 달리 가

명조치는 여전히 개인정보보호법의 적용 범위 내에 있기 때문이다. 즉, 개인정보보호법의 세계적 추세

인 개인정보보호와 개인정보 활용 사이의 균형이 추구될 수 있다. 따라서 2016년 가이드라인은 미국

과 일본의 접근과 유사하게 익명조치에 집중한 점에서 또한 보다 정상적인 개인정보보호법의 개정을

대신하려고 하는 점에서 긍정적이라고 볼 수 없다. 개인정보보호법의 목적으로부터 빅데이터 분석기술

을 포용할 수 있도록 보다 전면적인 개정이 필요하다.

41

참고문헌

1. 국내문헌

법규

개인정보 보호법 (시행 2016.9.30.)

개인정보 비식별 조치 가이드라인 -비식별 조치 기준 및 지원·관리체계 안내 (2016.6.30)

신용정보의 이용 및 보호에 관한 법률 (시행 2016.9.30.)

정보통신망 이용촉진 및 정보보호 등에 관한 법률 (시행 2016.9.23.)

표준 개인정보 보호지침안 (시행 2016.6.30.)

기타 자료

한국정보화진흥원 ICT융합본부, “개인정보보호 법제로 인한 빅데이터 활용 한계사례 조사·분석”,

한국정보화진흥원, (2015. 12).

2. 외국문헌

법규

General Data Protection Regulation(GDPR, Regulation (EU) 2016/679)

EU Directive (EU Directive 95/46/EC - The Data Protection Directive)

1966년 ‘건강보험 이동성 및 책임의 법’ (Health Insurance Portability and Accountability Act:

HIPAA)의 프라이버시 규칙(Privacy Rules)

Code of Federal Regulations : Title 45 Public Welfare (45 CFR)

Code of Federal Regulations : Title 47 Telecommunications (47 CFR)

Family Educational Rights and Privacy Act (FERPA) (20 U.S.C. § 1232g; 34 CFR Part 99)

個人情報の保護に関する法律（平成15年法律第57号）

국제문서

Article 29 Data Protection Working Party, Statement on the impact of the development

of big data on the protection of individuals with regard to the processing of their personal

data in the EU, 14/EN WP221, (2014.9.16.).

Article 29 Data Protection Working Party, Opinion 03/2013 on Purpose Limitation,

42

00569/13/EN WP203, (2013.04.02.).

Article 29 Data Protection Working Party, Opinion 05/2014 on Anonymisation

Techniques, 0829/14/EN WP216, (2014.04.10.).

ENISA, Privacy by design in big data: An overview of privacy enhancing technologies

in the era of big data analytics, (2015.12).

European Commission, Factsheet: The EU Data Protection Reform and Big Data,

(March 2016).

European Data Protection Supervisor, Opinion 07/2015 - Meeting the challenges of big data,

(2015).

European Parliament, Big Data and Smart Devices and their Impact on Privacy, (2015).

International Working Group on Data Protection in Communications, Working Paper

on Big Data and Privacy, (2014)

ISO, ISO/TS 25237:2008 Health informatics — Pseudonymization, (2008.12.01.).

개별 국가 정부문서

FCC, “Fact Sheet : The FCC adopts order to give broadband consumers increased choice

over their personal information” (2016.10.27.).

FCC News, “FCC adopts Privacy Rules to give broadband consumers increased choice,

transparency and security for their personal data” (2016.10.27.).

FCC, “In the Matter of Protecting the Privacy of Customers of Broadband and Other

Telecommunications Services (WC Docket No. 16-106) Notice of Proposed Rulemaking”,

(2016.04.01.).

Federal Committee on Statistical Methodology, “Statistical Policy Working Paper 22

(Second version, 2005):

Report on Statistical Disclosure Limitation Methodology”, (2005.12).

Information Commissioner’s Office, “Big Data and Data Protection”, (2014.07.28.).

Office of Civil Rights, “Guidance Regarding Methods for De-identification of Protected Health

Information in Accordance with the Health Insurance Portability and Accountability Act (HI-

PAA) Privacy Rule”, US Department of Health and Human Services, (2012.11.26.).

個人情報保護委員會事務局,�“改正個人情報保護法の�槪要と施行に向けた�取組について”,�(2016.6).

43

저서 및 논문

Bradley Malin and Latanya Sweeney, “How (not) to protect genomic data privacy in a distrib-

uted network: using trail re-identification to evaluate and design anonymity

protection systems”, Journal of Biomedical Informatics, Vol.37, Issue 3, (2004. 6).

Benjamin R. Jefferys et al, “Navigating legal constraints in clinical data warehousing: a case

study in personalized medicine,” Interface Focus, Vol. 3, Issue 2, (2013.04.06.).

新保�史生,�“個人情報保護法改正のポイントを学ぶ（7）:�匿名加工情報の取り扱い”,�国民生活�(2016.4).大場�敏行,�“約10年ぶりの改正：新しい個人情報保護法とその影響�前編”,�デロイトトーマツサイバーセキュリティ�先端研究所�ニュースレター,�Vol.4�(2016.1.22.).

온라인 자료

Gabe Maldoff, “Top 10 operational impacts of the GDPR: Part 8 – Pseudonymization”,

(2016.02.12.).

기타 자료

Latanya Sweeney, “Simple Demographics Often Identify People Uniquely”, Data Privacy

Working Paper 3, Carnegie Mellon University, (2000).

Latanya. Sweeney, “Data sharing under HIPAA: 12 years later,” A presentation at the

Workshop on the HIPAA Privacy Rule’s De-Identification Standard, Washington, DC.,

(2010.03.08.-09).

Simson L. Garfinkel, “De-Identification of Personal Information 2 - NISTIR 8053”

National Institute of Standards and Technology Internal Report (NISTIR), (2015.10).

44

저자 소개

박노형 교수

현) 고려대학교 법학전문대학원 교수

현) 고려대학교 사이법법센터 소장

현) 한국통상법제연구소 소장

현) 한국조정학회 회장

현) 제 5차 정보안보 UNGGE 외교부 자문

현) 개인정보보호위원회 법령평가전문위 위원

고려대학교 기획처장, 교무처장, 법학전문대학원 원장/법대 학장 (2001, 2006, 2011-2013)

사단법인 동해연구회 회장 (2010-2015)

산업자원부 무역위원회 위원 (2004-2007)

한국국제경제법학회 초대회장 (2003-2006)

IoT환경에서의

프라이버시 보호에 관한 연구

연세대학교 법학전문대학원 오병철 교수

NAVER Privacy White Paper

46

목차

요약문 52

1. 서론 57

가. 개인정보의 중요성 57

나. IoT의 개념 58

다. IoT의 특성 59

라. IoT가 가져올 위험들 36 61

2. IoT에 대한 규범적 접근 62

가. 이른바 ‘스마트사회’의 환경 62

나 다양한 개념간의 관계 64

다. 기술발전의 규범적 함의 68

라. 프라이버시관점에서의 IoT 시스템의 구조 70

마. IoT의 정보보안(Security)과 개인정보보호(privacy protection) 72

3. 프라이버시보호 관점에서의 IoT와 IoT 데이터 74

가. IoT의 특수한 프라이버시 침해 위험 74

나. IoT기기의 구분 77

다. IoT 데이터 78

4. IoT 프라이버시 해외 동향 81

가. EU 81

나. 미국 86

다. 일본 88

5. IoT의 프라이버시 관련 현행 규범과 문제점 92

가. 개인정보 보호법 93

나. 정보통신망법 96

다. 위치정보보호법 99

라. 기타 101

47

6. IoT를 고려한 프라이버시 보호 방안 108

가. 개인정보자기결정권의 재조명 108

나. 개인정보자기결정권의 한계 113

다. 프라이버시보호 지향적 설계 118

라. 비식별 조치를 통한 활용 121

마. 참조와 저장의 규범적 구분 122

7. 법령 정비 방안 123

가. 개인정보 보호법 123

나. 정보통신망법 129

다. 위치정보보호법 132

라. 새로운 입법의 모색 133

8. 결론 134

참고문헌 136

48

요약문

1. 서론

- 스마트환경의 등장으로 인하여 개인정보를 둘러싼 새로운 환경은 보호와 활용의 균형추를 급격히

활용에 기울게 하였으며, 그로 인해 스마트환경에 있어서 개인정보의 보호 문제가 상대적으로 중요

성을 가지게 됨

- 기기나 센서와 같은 사물들이 인터넷을 통하여 공동으로 또는 상호간에 통신하거나 정보를 주고받

는 것이라고 정리할 수 있는 사물인터넷(Internet of Things; IoT)시대가 도래하고 있음

- IoT환경에서는 사물이 상황에 따라 통신을 주도하는 비인격적 통신, 컴퓨터를 통한 자동화된 통신,

IoT환경에서의 기기간의 통신은 거부할 수 없는 필수적인 것이 되어 필수호환적인 통신, 불특정 다수

의 기기와의 개방적 통신이 이루어지게 되어 프라이버시 침해의 우려가 증대

2. IoT에 대한 규범적 접근

- IoT는 현재의 정보사회(information society)를 한 단계 더 고양시켜 스마트사회(smart society)로

발전시켜 나아가게 하여, 스마트홈, 스마트 그리드, 스마트카, 스마트의료 등을 구현하게 됨

- 기술의 발전은 연속선상에서 점진적으로 이루어지는 ‘점수(漸修)’의 과정이며, 기술진보는 ‘고성능

화’, ‘소규모화’, ‘개인화’의 경향성을 보여왔음

- IoT는 클라우드컴퓨팅, 빅데이터, M2M 등 다양한 용어들의 컴퓨팅 기술이 현 시점에서 가장 진보된

형태로 구현된 것이므로 각 기술 개념과의 공통적인 점과 이질적인 점이 공존

- 개인정보보호의 관점에서 각 기술적 유형들에서의 기존의 연구성과를 그대로 기계적으로 적용하는

것은 무리일 수는 있으나, 공통적인 문제상황에 대해서는 매우 중요한 시사점을 제공

- IoT의 프라이버시 침해 우려의 취약성은 IoT환경 전 구간에 걸쳐 존재하며, 센싱과정에서는 수집하

는 정보가 개인정보인가를 식별하거나 정보주체로부터 사전 동의를 개별적으로 얻는 것이 어려워서

동의기반의 활용원칙의 한계가 노정

- 네트워킹 과정에서 다대다(多對多) 통신이 이루어지게 되어 다수의 다수를 향한 쌍방향 통신에서는

결국 다수가 통신에 포함된 개인정보를 공유하는 현상이 유발되며, 필연적인 데이터의 축적이나 데

이터 마이닝으로 인한 개인정보의 침해우려가 증가

- 정보보안은 제3자와의 관계에서의 개인정보보호를 위해서는 결정적인 요소이지만, 정보주체와 IoT

참여자 사이의 개인정보 제공 및 활용의 관점에서는 기술적인 선결문제에 불과하므로 정보보안은

개인정보보호의 필요조건이기는 하지만 충분조건은 아님

49

3. 프라이버시보호 관점에서의 IoT와 IoT 데이터

- IoT환경에서는 기술적으로 진보되고 자동화된 디바이스 및 센서의 사물 식별능력 및 센서를 통한 데

이터, 접속능력에 기반한 정보의 수집능력으로 비합법적인 데이터 처리, 프로파일링, 추적성들을 확

보할 수 있게 되어 개인의 프라이버시에 큰 위험

- IoT환경에서 다양한 유형의 행태정보가 수집되어 이것이 상호 결합된다면 행태정보까지도 도출되고

이는 ‘행동조작(manipulation of behavior)’의 위험성 그리고 ‘생애통제(control of life)’까지도 우

려되며, 특정인을 차별하거나 사회·경제적인 불균형을 악화시킬 수 있음

- IoT기기들은 실시간 사용자를 탐지하고 사물끼리 자동으로 정보를 주고받기 때문에 개인정보주체의

사전 검토나 동의를 매번 받는 과정을 수행하기 어렵고, 사물인터넷에 의한 일정한 서비스를 제공받

기 위하여서는 어떠한 방식으로든 사전에 동의를 하여야 비로소 사물인터넷환경에 접근할 수 있게

되어 개인정보제공의 사실상 강제가 우려됨

- IoT기기 중 “이동성있는 개인연관 IoT기기”는 개인정보 보호법, 정보통신망법과 위치정보보호법이

모두 적용되며, “고정형 개인연관 IoT기기”는 개인정보의 수집과 활용으로 인해 개인정보 보호법이

나 정보통신망법만이 적용되고, “이동형 순수사물 IoT기기”는 위치정보보호법의 적용대상이 될 수

있을 것이지만, “고정형 순수사물 IoT기기”는 프라이버시와 관계 없음

- IoT상의 개인데이터는 크게 ‘개인식별정보’와 ‘개인특성정보’로 나누어 볼 수 있으며, ‘개인식별정보’

는 특정인과 1대1 매칭이 되는 ‘개인특정식별정보’와 다른 정보와 용이하게 결합하여 식별할 수 있

는 ‘개인결합식별정보’로 그리고 ‘개인특성정보’는 민감한 특성에 관한 정보인 ‘개인민감정보’와 행동

양식에 관한 정보인 ‘개인행태정보’로 구분할 수 있음

4. IoT 프라이버시 해외 동향

- 최근의 EU일반정보보호규칙에서도 IoT환경을 직접적으로 고려하여 규율하는 조항은 찾아볼 수 없

지만, 2016년 EU일반정보보호규칙에 명문으로 개념정의된 ‘가명처리’(pseudonymisation)라는

용어는 IoT환경에 시사하는 바가 큼

- 미국의 소비자보호 프라이버시 권리장전에서는 비식별화된 정보는 개인정보가 아니라고 선언하고

있으며, HIPAA 프라이버시 규칙의 비식별화 역시 건강정보는 민감한 개인정보임에도 불구하고 비

식별 조치를 택일적으로 취할 수 있다는 점에서 미국은 개인정보의 활용에 더 중점

- 2015년 개정 일본 개인정보 보호법에서는 개인정보 개념의 모호함을 해결하고자 노력하였음에도

모호한 개념정의의 한계는 여전히 존재하지만, ‘익명가공정보’를 개념정의하고 활용에 대한 법률상

의 근거를 마련하였다는 점에서는 전향적이라고 평가할 수 있음

50

5. IoT의 프라이버시 관련 현행 규범과 문제점

- 개인정보 보호법상의 수범자는 개인정보처리자에 국한되나 IoT기기는 물건이므로 자연인이 아니며

법인과 같은 단체라고 할 수 없으므로, IoT기기의 소유자나 이용자가 개인정보처리자가 되어야 하는

것인가라는 문제가 발생

- IoT환경에서는 사물에 의해 주도되는 비인격적 정보수집과 통신, IoT기기의 판단에 의한 자동화된

정보수집과 통신, 네트워크 접속 없이는 무의미해지는 필수호환적인 통신, 그리고 상대를 특정할 수

없는 개방적 통신이 이루어지므로 동의기반 활용원칙에 한계

- IoT환경에서는 정보의 국외이전이 보편적인 현상으로 자리 잡게 되는데 개인정보 보호법 제17조 제

3항의 고지와 동의가 가능할 것인지, 또 클라우드 컴퓨팅법 제26조 제1항의 저장국가 고지 요구권

이 유효할 것인지 문제임

- 정보통신망법 역시 정보통신서비스제공자가 수범지이나 IoT기기의 센서가 자동화된 수집과 통신을

비인격적으로 수행하는 경우에 그 기기를 정보통신서비스제공자라고 할 수도 없고 또 그 배후에 있

는 단순한 이용자나 소유자는 영리를 목적으로 하지 않는 한 정보통신서비스제공자라고 할 수 있는

가의 문제 발생

- 현행 위치정보보호법은 단순사물위치정보에 대해서도 소유자의 사전동의를 얻을 것을 요구하고 있

으나 단순 사물위치정보를 소유자의 동의 없이는 수집·이용 또는 제공할 수 없다면, IoT환경에서는

IoT기기의 운용에 규범적 장애물로 작용할 치명적인 위험

- 위치정보보호법은 사물위치정보에 대한 동의권을 오로지 소유자에게만 부여하고 있으나, IoT환경에

서 기기의 소유자와 기기를 통해 개인위치정보가 추론되는 사람은 항상 동일인인 것은 아니므로 적

절하지 않음

6. IoT를 고려한 프라이버시 보호 방안

- 헌법 제10조와 헌법 제17조로부터 개인정보자기결정권이 도출되지만 절대적이 권리는 아니며, 인

격권으로 보호될 수 있는 개인정보만이 개인정보자기결정권의 객체가 될 수 있음

- 개인정보자기결정권은 정보주체의 표현의 자유와 긴밀하게 연관되어 있어서, 개인정보를 적극적으

로 노출하고자 하는 정보주체의 의지도 개인정보자기결정권에 포함시켜야만 SNS에 스스로의 개인

정보를 공개하고자 하는 현재의 욕구도 고려할 수 있음

- 개인정보자기결정권은 정보주체가 자신의 개인정보를 노출시키지 않을 것인지 아니면 적극적으로

노출시킬 것인지를 스스로 자유롭게 결정할 수 있고 이를 제3자가 존중해야 할 의무를 부담하는 것

으로 폭넓게 확장되어야만 함

- 개인정보를 재산권적인 관점에서 파악하고자 하는 시도도 있으나, 개인정보는 재산적 가치있는 인

격권으로 보아야 하며, 재산적 가치와 인격권이 해결 불가능한 갈등과 충돌상황에 놓여 택일적인 선

택을 해야 할 경우라면 인격권 보호를 위해 재산적 가치를 양보

51

- 최근 대법원 판례에 나타난 바와 같이, 정보주체가 직접 또는 제3자를 통하여 이미 공개한 개인정보

는 그 공개 당시 정보주체가 자신의 개인정보에 대한 수집이나 제3자 제공 등의 처리에 대하여 일정

한 범위 내에서 동의를 하였다고 보아 이미 공개된 개인정보를 정보주체의 동의가 있었다고 객관적

으로 인정되는 범위 내에서 수집·이용·제공 등 처리를 할 때는 정보주체의 별도의 동의는 불필요함

- IoT환경에서 공개된 개인정보에 대한 정보주체의 동의추단은 매우 시사하는 바가 크며, IoT환경에서

정보주체의 사전 동의를 요하지 않고 수집을 할 수 있도록 허용하는 거의 유일한 규제 우회의 통로가

될 수 있을 것

- IoT통신과정에서 주고받는 데이터에 담기는 개인정보가 최소화되도록 프라이버시보호 지향적 설계

를 하는 것이 더 효과적일 수 있으며, 이는 기술적 코드가 규범적 코드를 대체하는 현상의 일종으로

서 프라이버시 지향적 설계를 법적 강제보다는 연성적인 인증제도 등을 통해서 구현하는 것이 적절

- IoT환경에서 개인정보의 침해 위험성에 대한 가장 대표적인 대응방안으로는 비식별 조치를 들 수 있

으나 이후 처리과정에서 분석 및 재조합을 통해 식별 정보로 변화될 가능성이 높기 때문에 이에 대한

대책이 필요

- IoT환경에서는 개인정보의 수집을 단순히 일시적으로 활용되고 삭제되는 ‘개인정보참조’와 지속적

이고 장기적인 활용을 하는 ‘개인정보저장’으로 구분하여, ‘개인정보참조’의 경우에는 활용을 보다 강

조하고, ‘개인정보저장’은 보호에 치중하는 정책적 방향으로 나아가는 것이 적절

7. 법령 정비 방안

- 현행 개인정보의 개념정의를 수정하는 것은 필요하지 않지만, ‘자신이 보유한 다른 정보와 경제적으

로 합리적인 결합이 가능한 경우’에만 개인정보로서의 성격을 인정하도록 해석하여 개인정보개념의

불필요한 범위확장을 방지하고 IoT환경에서의 개인정보의 활용을 보다 활성화

- 개인정보의 동의기반 활용원칙은 IoT환경에도 그대로 적용하되 개인정보의 제한적인 해석론을 통한

활용범위 확장과 더불어 공개된 개인정보의 자유활용범위 확대, 개인정보의 참조와 저장의 구분을

통한 참조활용의 제한완화 및 기술적인 프라이버시 지향적 설계를 통해 어느 정도 개인정보의 활용

을 후원하는 방향으로 해소

- IoT환경에서의 이러한 한계를 극복하기 위해서는 개인정보 보호법의 수범주체인 개인정보처리자에

“업무를 목적으로 하지 아니하더라도 IoT기기를 보유한 자”를 단서로 추가시키는 법개정이 가장 명

확한 해결방법이나 개정시까지는 IoT기기 보유자는 자신의 의지를 실현하고자 하는 구체적인 의사

를 프로그래밍을 통해서 구현하였기 때문에 그 의사의 최종적인 발현형태인 IoT기기 작동에 구속된

다는 해석론 적용

- 비식별 조치된 정보도 개인정보이지만 비식별 조치에 대한 적절한 평가가 이루어진 후에는 동의 없

이 활용이 제한적으로 가능하다고 법적으로 명확하게 인정하고, 적어도 훗날 반증이 되더라도 이미

이루어진 기존의 활용에 대해서는 면책해주는 것이 바람직

52

- IoT환경에서 정보주체가 의도적으로 IoT기기에 입력한 정보를 공개된 개인정보라고 인정하기 위한

요건으로서 ①개인정보의 전달이 사전에 알려져 있을 것, ②개인정보의 전달 목적이 IoT활용을 위한

것, ③개인정보를 수집하는 IoT기기가 일정한 범위로 제한될 것, ④이러한 사실을 인식하고 개인정보

주체가 개인정보를 IoT기기에 입력할 것을 제시

- 정보통신망법상의 정보통신서비스제공자의 개념정의에 “영리를 목적으로 하지 아니하더라도 IoT기

기를 보유한 자”를 단서로 추가시키는 법개정과 더불어 해석론상으로도 IoT기기의 보유자는 IoT기기

의 작동 결과에 따른 책임을 부담한다는 논리를 적용

- 개인정보참조’의 경우에는 정보주체의 동의 없이도 일시적으로 참조하고 삭제하는 것을 허용하되,

‘개인정보저장’은 설령 IoT환경일지라도 정보주체의 사전 동의 없이는 불가능하도록 하여 동의기반

활용원칙의 기조를 유지하면서도 개인정보의 활용을 촉진

- IoT관련 산업의 진흥을 위하여 현행 법령 내에서의 위치정보를 개인위치정보만으로 개념의 재정의

가 입법적으로 필요

8. 결론

- 현재의 개인정보 보호법은 양자적 구조와 직접적 구조(개인정보주체-개인정보처리자)의 한계를 가

지고 있으므로 다자적 구조와 간접적 구조(개인정보주체-IoT기기-플랫폼-개인정보처리자)로의 발

전을 규율하기에 한계

- 개인정보의 개념을 축소하고, 공개된 개인정보는 추가적인 동의 없이 활용가능하도록 허용하며, 비

식별화를 통한 활용을 적극적으로 모색하며, 일시적인 ‘개인정보참조’의 경우에는 정보주체의 동의

를 요하지 않도록 하여 IoT환경에서 개인정보의 보호와 활용의 균형점을 확보

- IoT환경에서는 규범적인 통제 뿐만 아니라 기술적인 대응도 효과적이므로 프라이버시 지향적 설계

를 관철할 수 있도록 인증시스템과 같은 지원 및 진흥정책을 추진

53

1. 서론

가. 개인정보의 중요성

정보화사회에 이르기 이전에는 개인정보 보호문제와 관련하여 다소 소극적인 관념이라고 할 수 있는

프라이버시가 강조되어, 개인은 자신의 개인정보가 침해된 경우 프라이버시에 관한 권리, 즉 인격권의

침해를 주장할 수 있었다. 그러나 정보화의 진전에 따라 단순한 사생활 영역의 인격권 침해를 넘어서 국

가 또는 타인의 지배영역에 존재하는 자신의 정보에 대해 적극적으로 통제할 필요성이 증가하기 시작

하였으며 그 결과 개인정보자기결정권이라는 적극적인 헌법상의 권리로 인정되기에 이르렀다.1 그러

나 정보주체가 원하지 않는 개인정보의 유출은 단순한 사법상의 인격권 침해나 헌법상의 개인정보자기

결정권의 침해로 추상적인 손해의 발생에만 그치는 것은 아니다. 우리나라를 떠들썩하게 했던 1994년

이른바 지존파 사건의 경우에 현대백화점의 우수고객 1,200명의 개인정보가 범죄조직에 유출되었고

이 개인정보를 연쇄납치살해 범죄에 비극적으로 악용되었다.2 즉 개인정보의 침해는 정보주체에게 치

명적인 피해를 가져올 수 있으므로, 매우 중요한 보호가치가 인정된다.

개인정보는 이러한 보호가치 못지않은 또 다른 측면의 활용가치를 지닌다. 데이터는 본질적으로 활용

을 전제로 수집된다. 쌓아두기만 하는 데이터는 단순히 기록으로서의 의미 이상을 가지기 어려울 뿐만

아니라 경쟁력의 핵심원천인 소중한 자원을 방치하는 것이다. 또한 데이터는 수집하여 보관하는데 많

은 비용이 소요되기 때문에 활용하지 않을 경우 경제적으로도 큰 부담을 초래한다. 공공부문과 민간부

문을 막론하고 고객지향적 서비스 또는 맞춤형 서비스 제공을 위해서는 필수적으로 개인정보를 활용해

야 한다. 개인의 기본적 속성정보(나이, 생일, 소득, 직업)와 더불어 개인의 수요나 욕구에 대한 정보, 개

인의 취향이나 행태에 관한 정보 등이 종합적으로 수집되고 결합되고 분석되고 추론되었을 때 고객 맞

춤형 서비스 제공이 가능해진다. 최근 기존의 정태적이고 고정적인 개인정보에 더해서 개인들이 사이

버공간에서 만들어내는 광범위하고 다양한 소셜 개인데이터(페이스북, 트위터, 카카오톡, 밴드, 블로그

등)가 무한대로 증가하고 있기 때문에 개인정보의 활용가치는 더욱 더 커지고 있다.3

이러한 혜택에도 불구하고 개인정보 내지 프라이버시 침해가 이루어지면 이용자들은 IoT(Internet of

Things) 활용을 받아들이지 않게 되고 심지어 분쟁이 야기될 수도 있고, 궁극적으로 IoT 활용에 따른 기

숙혁신을 기대할 수 없고 우리 사회는 IoT의 혜택을 누릴 수 없게 된다. 따라서 IoT에서 개인정보보호 문

제의 해결은 매우 중요한 의미를 갖는다.4 IoT와 관련된 개인정보를 논하는 목적은 한편으로는 IoT기기

에 의하여 수집되는 개인정보를 보호하고 다른 한편으로는 IoT를 활용함으로써 나오게 되는 혜택을 우

1 심우민, 사물인터넷 개인정보보호의 입법정책, 헌법학연구 제21권 제2호, 2015. 6, 20면.

2 동아일보, 2014.1.22.일자 보도(http://news.donga.com/3/all/20140122/60320237/1).

3 윤상오/김기환, 빅데이터 시대의 한국과 영국간 개인데이터 활용정책 비교 연구, 한국정책과학학회보 제20권 제1호, 2016, 3, 32면.

4 이대희, 사물인터넷 활용과 개인정보 보호, 경영법률 제25권 제3호, 2015, 368면.

54

리 사회가 누리도록 하기 위한 것이어야 한다. 개인은 IoT에서도 개인정보가 적절하게 보호된다는 보장

이 이루어져야 IoT기기를 널리 사용하게 될 것이고 이에 따라 IoT활용에 따른 혜택을 거둘 수 있으므로

양자는 서로 밀접하게 연관되어 있다.5

결국 핵심은 개인정보의 보호와 활용이라는 상충하는 가치의 균형과 조화를 여하히 이룰 것인가 하는

문제로 귀결된다. 특히 스마트환경의 등장으로 인하여 개인정보를 둘러싼 새로운 환경은 보호와 활용

의 균형추를 급격히 활용에 기울게 하였으며, 그로 인해 스마트환경에 있어서 개인정보의 보호 문제가

상대적으로 중요성을 가지게 되고 있음을 지적할 수 있다.6

나. IoT의 개념

IoT의 개념은 2005년 발간된 문헌에서 처음으로 공식적으로 등장하는 것이지만,7 아직도 널리 수용되

고 있는 개념정의는 없다.8 그만큼 수많은 정부기관과 학자들에 의해서 개념정의가 이루어져왔으나 아

직 확고하게 정립된 개념은 아니다. 나름 가장 신뢰할 수 있다고 생각되는 미국 백악관리포트의 개념정

의는 다음과 같다. “‘Internet of Things라는 용어는 유무선 네트워크를 통해 연결된 내장 센서들을 이

용해 기기 상호간 통신을 하는 기기의 능력을 표현하기 이용되어 왔다. 이러한 기기들은 온도조절기, 자

동차 또는 삼키면 의사가 소화계통의 건강을 모니터할 수 있는 알약 등이 있다. 이러한 서로 연결된 기

기들은 정보를 전송하고 편집하고 분석하기 위해 인터넷을 이용한다.”9 미국 FTC 보고서에서는 “컴퓨

터, 스마트폰 또는 태블릿 외에 기기나 센서와 같은 사물들이 인터넷을 통하여 공동으로 또는 상호간에

통신하거나 정보를 주고받는 것”10으로 IoT라는 용어를 사용하고 있다.

우리나라 현행 법규에서 명확히 ‘사물인터넷’ 또는 ‘IoT’를 정의한 규정은 찾을 수 없으나, 미래창조과학

부 고시인 ‘전기통신번호관리세칙’ 제3조 제21호에서 ‘사물지능통신’을 “정보통신망을 이용하여 사물

과 사물 간 데이터 등을 통신하거나 수신하는 전기통신서비스”라고 규정하고 있는 것이 관련 정의 규정

이라 할 수 있다.11 미래창조과학부의 공식문헌에서는 IoT를 “모든 사물에 태그, 센서 등을 부착하고 인

터넷으로 연결하는 개념에서 사물 자체가 스마트 디바이스화되는 개념으로 진화”하고 있다고 표현하

고 있다.12 그 밖에 한국인터넷진흥원은 “고유하게 식별가능한 사물이 만들어낸 정보를 인터넷을 통해

5 이대희, 사물인터넷 활용과 개인정보 보호, 경영법률 제25권 제3호, 2015, 382면.

6 함인선, 개인정보처리와 관련한 법적 문제, 경제규제와 법 제26권 제1호, 2013. 5, 153-154면.

7 1999년 MIT의 오토 아이디 센터 소장인 케빈 애쉬톤(Kevin Ashton)이 처음으로 사용하였다는 주장도 있으나(박미사, 사물인터넷

활성화를 위한 법제도 개선방안, Internet & Security Focus, 2014. 8, 23면), 이는 결정적인 문제는 아니다.

8 FTC Staff Report, Internet of Things, 2015. 1, p.5.

9 Executive Office of the President, Big Data : Seizing Opportunities, Preserving Values, 2014, p.2.

10 FTC Staff Report, Internet of Things, 2015. 1, p.6.

11 신혜원/지성우, 사물인터넷(IoT) 환경에서의 개인정보보호에 관한 규범적 고찰, 법과 정책 제22집 제2호, 제주대학교

법과정책연구소, 2016. 8, 430면.

12 미래창조과학부, 사물인터넷[IoT] 정보보호 로드맵, 2014. 10, 2면.

55

공유하는 환경”이라고 정의하고 있고, 정보통신정책연구원은 “지능화된 사물들이 연결되어 형성되는

네트워크상에서 사물과 사물, 사물과 사람 간에 상호소통을 하고 상황인식기반의 지식이 결합되어 지

능적인 서비스를 제공하는 글로벌 인프라”로 정의한다고 소개하고 있으며, 그 외에 “각종 센서와 통신

네트워크를 통해 우리 주위의 사람/사물이 다양한 방식으로 연결되어 상호작용하고 협력하는 것을 넘

어서 이러한 작용을 통해 새로운 가치를 창출하는 것”13으로 정의하는 견해도 주목할 만 하다.

위와 같이 무엇이 IoT(Internet of Things)인가, 그리고 정의할 수 있는 개념인가에 대해서는 수많은 사

람들이 노력 해왔으나 “모르겠다”는 말이 정답이 아닌가 생각된다. 왜냐하면 기술의 발전이 IoT의 개념

정의보다 더 빠르게 진행되고 있어서 오늘의 개념정의가 내일에는 시대착오적인 것이 될 수도 있기 때

문이다.14

다. IoT의 특성

1) 비인격적 통신

IoT의 가장 중요한 특성은 사람과 사람간의 통신뿐만 아니라 사물과 사물간의 통신, 사람과 사물간의

통신이 가능하다는 것이다. 지금까지 통신 주체는 사람이었으나 이제 사물도 사람과 또는 사물과 통

신을 주고받는 것이 가능하게 되었다. 사물이 상황에 따라 통신을 주도할 수 있다고 한다면 이는 지

금까지의 사람주도의 통신과는 완전히 차별화되는 것이다.

그러나 문제는 사물간의 비인격적인 통신이 가능하게 된다고 하더라도 통신의 내용인 정보가 비인격

적인 것으로만 구성되는 것은 아니라는데 있다. 만약 사물 간에 주고받는 정보가 비인격적인 내용이라

면, 예를 들어 현재의 온도, 압력, 전압, 전력, 특정 물체와의 거리, 시간, 위치 값과 같은 것들뿐이라면

논의하고자 하는 개인정보나 프라이버시와의 갈등과 충돌은 생기지 않을 것이다. 사물간의 통신임에

도 불구하고 인격적인 정보가 포함되어 개인정보보호나 프라이버시와의 갈등이 생기는 이유는 무엇

인가. 그 이유는 사물이 특정인과 밀접한 연관을 맺고 있기 때문이고 그 밀접한 연관은 민사법상으로

는 소유권이나 점유권 또는 용익물권과 같은 물권적 관계 내지는 임차권과 같은 채권적 관계를 통해

형성되고 유지되는 것이기 때문이다. 특정인과 밀접한 연관을 갖는 사물이 주고받는 통신에는 그 사물

과 법적 근거를 형성하는 권리자에 관한 정보, 예를 들어 성명, 주소, 전화번호, 신용카드, 혈압, 맥박 등

이 포함될 수도 있다. 나아가 현재 또는 과거의 사물의 위치정보도 특정인과 매우 밀접하게 결합된 사

물이라면, 예를 들어 항시 휴대하는 스마트폰, 소유자나 이용자가 특정되어진 자동차와 같은 경우에는

설령 비인격적인 정보인 GPS값일지라도 인격적인 특정인의 위치정보로 추론이 충분히 가능하다.

13 스마트기기 보급확대에 따른 개인정보보호방안 연구 – 사물인터넷 환경을 중심으로, 개인정보보호위원회 연구보고서, 2014. 12,

6-7면.

14 David Z. Bodenheimer, The Internet of Things’ Swelling Technology Tsunami and Legal Conundrums, SciTech Lawyer,

Spring, 2016, p.6.

56

2) 자동화된 통신

IoT는 센서가 부착된 사물을 유무선 통신망으로 연결, 이를 통해 발생하는 실시간 데이터를 사람 개

입없이 인터넷으로 주고받는 기술이나 환경이다.15 IoT의 비인격적 통신이 가능하게 된 기술적 배경

은 컴퓨터와 같은 현대적 자동화 기기의 등장이다.16 IoT디바이스에 사전에 프로그래밍 된 대로 정보

를 주고받을 수 있어야 비인격적인 통신이 이루어지게 된다. 결국 비인격적 통신은 프로그램을 통한

자동화된 통신의 결과라고 할 수 있다.

인간에 의해 사전에 프로그래밍된 알고리즘을 통한 컴퓨터의 작동결과는 마치 자동화된 것처럼 보

이게 되고, 기술의 발전에 따라서 자동화의 정도는 거의 자율적인 수준에 이르는 수준에 이르렀다.

대표적으로 최근 사회적인 주목을 받고 있는 자율주행자동차의 경우에는 전혀 인간의 조작행위 없

이도 공도에서 완전한 자율주행이 가능하게 되었고, 인공지능 알파고가 세계 정상급 프로기사를 이

기는 충격적인 결과를 가져오고 있다. 이와 같은 기술적 진보에서 IoT수준의 자동화된 통신은 구현하

기 어려울 까닭이 없을 것이다.

IoT의 자동화된 통신이 개인정보보호와 프라이버시와의 갈등을 일으키는 마찰점은 정보주체에게 개

인정보자기결정권의 진지한 행사를 보장하는 것이 구조적으로 어렵다는 것이다. 현행 법질서에 따

르면 정보주체의 개인정보자기결정권의 진지한 행사라 함은 자신의 개인정보를 제공할 것인지의 여

부를 사전에 충분히 검토한 후 개인정보제공에 명시적으로 동의하는 것이다. 그러나 IoT를 통해 주고

받는 정보에 개인정보가 포함되어 있는 경우라도 자동화된 통신이 이루어지게 되면 정보주체가 자

신의 개인정보를 제공할 것인지의 여부를 사전에 구체적으로 충분히 검토하는 것이 구조적으로 불

가능하다. 예를 들어 자율주행자동차가 공도에서 나란히 주행 중인 자동차들 중에서 어느 특정 자동

차에게는 자동차 등록증상의 소유자 개인정보를 제외한 정보를 제공하고 다른 특정 자동차에게는

개인정보를 포함한 정보를 제공할 것인지를 자동차 소유자가 사전에 검토하여 명시적으로 동의를

할 수 있을 것이라고 기대하기 어렵다. 그렇다면 그 한도에서는 정보주체의 개인정보제공에 대한 사

전적 동의라고 하는 동의기반의 현행 개인정보보호 체계로서는 한계가 노정될 것이다.

3) 필수호환적 통신

현재의 IoT는 태동의 시기이라 기기를 서로 연결하고 통신을 유지하는 그 자체에 집중되고 있으나,

향후 더 기술이 발전되면 하나의 생태계를 형성하게 될 것이다. 마치 1980년대의 컴퓨터는 독립된

개체로 존재하였지만, 30여년이 지난 지금 네트워크에 연결되어 있지 아니한 컴퓨터는 불완전한 기

기로서 충분히 제 기능을 못하는 상태가 되었다. 이처럼 본격적인 IoT환경에서는 기기 상호간의 통

15 한국정보화진흥원, 초연결사회를 견인할 IoT 데이터화(Datafication)전략, IT&Future Strategy 제1호, 2015. 3, 3면.

16 여기에서의 컴퓨터를 폰노이만 구조를 취하고 있는 PC나 서버만으로 좁게 생각할 것이 아니라, 입출력장치와 연산장치 그리고

프로그램을 통한 알고리즘으로 결과를 산출할 수 있는 프로세스를 갖춘 모든 기기로 확대해서 이해할 필요가 있다.

57

신을 주고받는 것은 본래의 기능을 유지하기 위해서는 불가피할 것이다. 즉 IoT환경에서의 기기간의

통신은 거부할 수 없는 필수적인 것이고, 그 통신은 호환적인 것이라 완전한 쌍방향 통신으로 구현될

것이다. 즉 상호통신 없이는 IoT시스템 나아가 IoT생태계가 존립할 수 없을 것이다. IoT환경에서 필수

호환적인 통신이 이루어지게 되면 앞서 살펴본 정보주체의 개인정보자기결정권의 현실적인 토대는

거의 붕괴될 것이다. 개인정보가 포함된 정보의 제공에 대한 동의를 거부하거나 철회하는 순간 IoT네

트워크에서 분리될 수밖에 없다면, IoT생태계에서 생존하기 위해서는 동의가 사실상 강제되는 상황

을 맞이하게 될 것이다. 이렇게 된다면, 설령 정보주체의 개인정보 제공에 대해 진지한 검토를 거쳐

명시적인 사전적 동의를 할 수 있는 아키텍쳐 설계가 이루어진다고 해도 정보주체가 IoT생태계에서

고립되지 않기 위해서는 ‘동의’를 선택하지 않을 수 없게 되고, 사전적 동의를 위한 아키텍쳐는 형식

적인 무의미한 규범을 위한 기술적 장치로 전락한다.

4) 개방적 통신

IoT환경에서는 사전에 정하여진 특정 기기 상호간의 통신 외에도 불특정 다수의 기기와의 통신도 예

상된다. 예를 들어 스마트 고속도로에 설치된 IoT기기는 그 위를 주행하는 수많은 불특정한 차량과의

통신이 불가피하고, 자율주행자동차도 어떠한 다른 자율주행자동차를 도로상에서 마주치게 될지 한

정지어 예상할 수 없다. 상대방이 특정되지 않는 불특정 다수를 향한 통신은 전통적인 사람과 사람과

의 통신에서는 예외적인 것이다. 불특정 다수의 기기를 대상으로 개방적인 통신이 이루어지게 되면,

정보제공의 상대방을 구별하여 취급하는 것은 현실적으로 어렵다.

개방적인 통신을 위해서는 사전에 특정한 IoT기기와 연결하여 통신을 하게 될 것인가 즉 교신상대방

을 특정하여 사전에 프로그래밍하여 둘 수 없게 된다. 즉 누가 자신의 IoT기기와 정보를 주고받을지

예상할 수 없는 상태에서라면, 통신하는 정보에 담긴 개인정보를 제공할 것인가 여부 역시 사전에 프

로그래밍할 방법이 없다. 예를 들어 스마트 헬스기기 경우처럼 정보주체의 건강정보를 오로지 자신

의 주치의에게만 전달한다고 한정되어 있다면, 정보주체의 개인정보자기결정권을 충분히 반영하여

이를 사전에 프로그래밍할 수 있다. 그러나 자율주행자동차나 스마트시티와 같은 경우에는 어느 기

기와 통신을 하게 될지 사전에 예측하는 것은 불가능하므로, 특정 주체에게만 개인정보가 포함된 정

보를 전송하는 것은 용이하지 않게 된다. 따라서 개방적 통신에서는 무차별적인 정보의 상호교환의

위험은 커질 수밖에 없을 것이다.

라. IoT가 가져올 위험들

IoT가 인류에 제공할 경제적 그리고 사회적 편익에 대한 기대가 큰 것만큼, IoT로 인한 프라이버시 침해

나 보안의 위험에 대한 공포도 크다. FTC보고서가 지적하는 바와 같이, 보안의 위기와 더불어 IoT로부

터 야기되는 관계자들의 프라이버시 위험도 드러나고 있다. 이러한 위험들 중에 일부는 정확한 위치정

58

보, 금융계좌번호 또는 건강정보와 같은 민감한 개인정보의 직접적인 수집을 포함하는 것이고, 이는 이

미 전통적인 인터넷이나 모바일 거래에서도 나타나고 있다. 다른 위험들은 직접적으로 수집된 민감정

보는 아니지만 취미, 위치 그리고 일정기간 동안의 육체적인 상태와 같이 그것으로부터 특정인(entity)

을 추론할 수 있는 개인정보의 수집으로부터 발생된다.17 IoT환경에서 스마트 기기에 의해 개인정보가

불법으로 수집, 축적, 활용되는 등 프라이버시가 침해되었다고 했을 때 그것이 일차적으로 프라이버시

의 침해로만 끝나는 것이 아니라 정보주체에 대한 차별, 즉 불법으로 수집된 개인정보가 그 사람을 대하

거나 평가하는 방법을 결정하는데 영향을 미칠 수 있게 될 위험도 있다.18 그 외에도 기술적 표준이나 주

파수 관리 그리고 사회 안전 확보 등에 대한 우려도 또한 제기되고 있다.19

2. IoT에 대한 규범적 접근

가. 이른바 ‘스마트사회’의 환경

IoT는 현재의 정보사회(information society)를 한 단계 더 고양시켜 스마트사회(smart society)로 발

전시켜 나아갈 것이다. IoT는 말 그대로 사물들(Things)이 인터넷으로 연결된 것이므로 우리의 생활환

경 거의 모든 부분에서 적용 가능한 것이다. IoT에 의해 변화되는 생활환경이 무엇인가를 알아보는 것

은 규범적 고찰에서는 중요한 것은 아니므로 이해를 위해 최소한으로 간략히 살펴본다.

1) 스마트홈

스마트홈이란 인간이 생활하고 거주하는 공간에 ICT를 융합하여 인간중심적인 스마트 라이프를 실

현하는 환경이다. 협의의 스마트홈은 홈서버, 정보가전, 융합단말 및 이를 하나의 가상 홈으로 연결

하기 위한 네트워크 환경구축과 홈서비스를 포함하는 개념이며, 광의의 스마트홈은 건설 및 주택 인

프라와 전자, 통신 기기 산업에서 융합된 서비스를 공급하는 홈관련 산업 전반이라고 정의할 수 있

다.20 스마트홈을 구현하려면, 가전제품이나 출입문, 공조장치 등에 센서와 네트워킹 기능을 내장시

켜 실시간으로 쌍방향 통신으로 정보를 전달하여야 한다. 이는 전형적인 IoT라고 할 수 있다.

2) 스마트 그리드

스마트 그리드에서 스마트(Smart)는 정보통신기술의 적용을 의미하며, 그리드(Grid)는 전력망을 의

17 FTC Staff Report, Internet of Things, 2015. 1, p.14.

18 이우권, 사물인터넷(IoT)에서 개인정보보호의 이슈와 대안, 한국자치행정학보 제29권 제4호, 2015. 겨울, 225면.

19 David Z. Bodenheimer, The Internet of Things’ Swelling Technology Tsunami and Legal Conundrums, SciTech Lawyer,

Spring, 2016, p.9.

20 미래창조과학부, 사물인터넷[IoT] 정보보호 로드맵, 2014. 10. 31, 43면.

59

미하는 것으로서, 스마트 그리드는 현존하는 전력망에 정보통신기술을 접목하여 에너지효율을 최적

화하는 지능화된 차세대 전력망을 의미한다.21 즉 전기의 공급자와 사용자가 양방향으로 실시간 정

보를 교환하는 방법으로 전기를 공급하는 차세대 전력망을 말하며, 스마트 그리드에서는 양방향 전

력정보교환을 통하여 합리적인 에너지 소비를 유도하고, 고품질의 에너지 및 다양한 부가가치 서비

스를 제공할 수 있게 된다.22 스마트 그리드에서는 사용자가 아닌 가정의 전력량계와 전기회사의 서

버가 상호간에 전력정보교환을 수시로 하게 되며, 가정의 전력량계가 IoT기기가 된다.

3) 스마트카

스마트카란 전통적인 자동차 기술에 차세대 전기·전자, 정보통신, 기능제어 기술을 접목하여 자동차

의 내·외부 상황을 실시간으로 인식하고 고(高)안전, 고(高)편의 기능을 제공하는 인간친화적인 자

동차를 말한다.23 그러나 그보다는 ‘스마트’란 ‘무에서 유를 창조하는 기능’을 말하므로 스마트카라면

‘구입할 때 없었던 기능인데 인터넷 연결 또는 다른 소프트웨어를 넣어 새로운 기능을 사용할 수 있

는 자동차’를 말한다는 견해24가 더 스마트카에 어울리는 설명이라고 생각된다.

스마트카로서의 기능을 구현하기 위한 기술은 크게 세 가지로 나눌 수 있다. 첫째는 첨단 센서와 컴

퓨팅 기술로서 운전자 시선의 감지 등을 통해 운전부주의, 졸음운전 혹은 판단 실수로 인해 발생하는

사고 가능성을 예방하고 줄이는 기술이다. 둘째는 사고 발생을 막기 위한 기술로서 첨단 운전자 보

조시스템, 차량자세 제어장치 그리고 사고 발생 순간을 정확히 감지해 운전자를 보호하기 위한 에어

백 기술 등이 있다. 셋째는 차량주행을 효율적으로 보조하기 위한 기술로서 조향장치 및 엔진제어기

술들이 포함된다.25 이러한 스마트카가 하나의 IoT기기이며, 스마트카가 스마트하이웨이를 주행하게

되면 스마트하이웨이의 다양한 기기(가로등, 속도감지기, 차량통행량 측정기, 도로정보 제공장치, 교

통정보 드론 등)나 다른 스마트카와 자동으로 정보를 교환하고 전달하게 되어 교통이 하나의 IoT환

경을 조성하게 된다.

4) 스마트의료

스마트의료는 센서, 유·무선 네트워킹 등의 융합기술을 활용하여 간단한 진료부터 원격진료, 맞춤형

의료기술에 이르기까지 언제 어디서나 질병을 예방·진단·치료·사후 관리를 하는 서비스를 의미한

다. 즉 의료정보 전체영역에서 의료정보처리 고도화, 시스템을 기반으로 라이프 사이클과 관련, 향상

되고 지능화된 기술을 접목하여 의료서비스를 종합적으로 개선하는 차세대형 의료의 포괄적인 의미

21 홍완식, 스마트그리드 입법에 관한 고찰, 법학연구 제45집, 2012. 2, 48면.

22 박훤일/윤덕찬, 스마트그리드 사업과 개인정보보호-스마트그리드 거버넌스의 제안, 기업법연구 제26권 제2호, 2012, 257-258면.

23 미래창조과학부, 사물인터넷[IoT] 정보보호 로드맵, 2014. 10. 31, 60면.

24 손대림, 스마트카/자율주행에서 스마트폰의 역할, 한국통신학회지 제33권 제4호, 2016. 4, 35면.

25 류창한/서민석, 스마트카 특허분쟁 네트워크분석을 통한 특허분쟁예방에 관한 연구, 한국자동차공학회 논문집 제23권 제3호,

2015. 5, 317면.

60

를 담고 있다.26 최근 실용화되고 있는 Fitbit과 같은 스마트휴대기기나 개발 중인 삼키면 내부 장기

의 상태를 화면으로 그대로 전송해주는 스마트알약이 스마트의료에서 사용되는 IoT기기의 예이다.

나. 다양한 개념간의 관계

과도할 만큼 범람하는 새로운 컴퓨팅 관련 기술적인 개념들은 한편으로는 사회적 관심을 끌어보기 위

한 경영학적인 관점에서의 네이밍 기법이 반영된 것이라 생각된다. 다양한 기술 개념들 간의 차별성이

사소한 것이라도 이를 극대화해서 강조함으로써 마치 전혀 새로운 기술이 등장한 것과 같은 착시현상

을 불러일으키기도 한다. 다양한 기술적 용어의 수명은 갈수록 짧아지고 있으며, 거의 매년 새로운 기술

개념이 등장하여 기존의 개념을 구축하는 현상이 벌어지고 있다.

1) 유비쿼터스

유비쿼터스(Ubiquitous)라 함은 언제 어디서나 존재한다는 뜻의 라틴어로 사용자가 언제 어디서

나 자유롭게 네트워크에 접속가능한 환경을 말한다. 유비쿼터스라는 용어는 제록스사의 Marke

Weiser에 의해 처음으로 제시된 용어로 사용자가 공기나 물처럼 의식하지 못할 정도로 일상생

활 안에 스며든 컴퓨팅 환경을 말한다. 유비쿼터스의 특징으로는 보이지 않는 컴퓨팅(invisible

computing), 끊김 없는 컴퓨팅(seamless computing), 이용자 중심적 환경(user-centric

environment), 증강된 현실(augmented reality), 맥락인지(context-awareness), 이용자 친화적

인 환경(user-friendly environment)을 들고 있다.27

유비쿼터스는 모바일 네트워크의 발전을 기반으로 하는 것이다. 과거 유선 네트워크를 기반으로 하

는 경우 유비쿼터스의 필수적인 조건인 ‘어디서나 접속가능’ 이라는 요구를 실현하기 어려웠지만, 모

바일 네트워크가 발전하면서 그 기초적인 환경이 마련되게 되었다. 무선 인터넷이 보편화된 현재 유

비쿼터스는 소수의 정보소외계층을 제외하고는 어느 정도 실현되어 있다. 고품질의 LTE/3G 네트워

크가 전 국토를 커버하고 있고 이를 보조하는 WiFi네트워크 역시 곳곳에 설치되어 있으며, 대다수의

국민이 스마트폰을 보유하고 있는 우리나라는 과거 예상했던 초보적인 유비쿼터스는 보편화된 것으

로 평가할 수 있다.

유비쿼터스가 사람이 언제 어디서나 네트워크에 접속하는 것을 말한다면, IoT는 사람은 물론이고 이

제는 사물까지도 언제 어디서나 네트워크에 접속가능하다는 것이다. 그리고 유비쿼터스에서는 사람

이 주도적으로 사물에 접속하는 방향으로 통신이 유지되었다면, IoT에서는 사물과 사물 그리고 사물

과 사람간의 통신에서 사물 주도적인 통신이 가능하게 되었다. 그러므로 초보적인 유비쿼터스 컴퓨

26 미래창조과학부, 사물인터넷[ioT] 정보보호 로드맵, 2014. 10. 31, 49면.

27 유비쿼터스 프라이버시 보호종합대책 수립(연구보고서), 한국정보보호진흥원, 2006, 1-6면.

61

팅이 한 단계 더 진화된 것이 IoT환경이라고 할 수 있고 이는 연속적인 기술혁신의 연장선상에 있는

것이다.

2) 클라우드컴퓨팅

클라우드컴퓨팅이란 정보가 개별 디바이스가 아닌 네트워크상의 서버에 저장되고 클라이언트 단말

기는 필요할 때 서버에 저장된 정보를 불러와 이용하고 다시 서버에 저장하는 컴퓨팅환경을 말한다.

법률상의 개념으로 클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률(이하 클라우드컴퓨팅법) 제2

조 제1호에서는 "클라우드컴퓨팅"(Cloud Computing)이란 집적·공유된 정보통신기기, 정보통신설

비, 소프트웨어 등 정보통신자원(이하 "정보통신자원"이라 한다)을 이용자의 요구나 수요 변화에 따

라 정보통신망을 통하여 신축적으로 이용할 수 있도록 하는 정보처리체계를 말한다”라고 개념정의

하고 있다. IoT와의 공통점이라면 개별 디바이스에 센싱한 정보를 저장하기 보다는 네트워크 상의 서

버에 저장되는 방식을 취한다는 점이라고 할 수 있다. 즉 둘 다 정보통신망 즉 네트워크를 최대한 활

용한다는 점을 공통적인 기술요소로 지적할 수 있다. 즉 IoT도 일종의 클라우드컴퓨팅을 활용하여 이

를 확장한 것이라고 할 수 있다.

다만 클라우드컴퓨팅은 사물이 아닌 사람이 통신주체가 되는 것을 전제로 하는 것이므로 IoT와는 현

저한 차별성이 존재한다. 그러한 차이점으로부터 통신주체의 비인격성이나 자동화된 통신, 개방적

통신과 같은 IoT만의 고유한 특성은 찾아볼 수 없고, 법적인 규율에서도 그러한 특성에 따른 고려를

요하지는 않는다. 그러나 클라우드컴퓨팅에서도 정보가 네트워크상의 서버에 집중된다는 점에서의

개인정보보호의 문제는 공통적이므로 클라우드컴퓨팅법 제26조와 제27조에서 이용자정보28에 대

한 법적 규율을 별도로 하고 있다. 특히 클라우드컴퓨팅법 제26조 제1항에서 이용자는 자신의 정보

가 저장되는 국가의 명칭을 알려줄 것을 요구할 수 있는 권리를 인정하고 있는데 이는 개인정보의 국

외이전과 관련하여 매우 중요한 의미를 갖는다고 할 수 있다.

3) 빅데이터

빅데이터란 양적으로는 기존의 처리범위를 넘은 대규모의 데이터를 처리하는 것이고, 질적으로는

단순히 정보를 저장하고 관리하는 것을 넘어 향상된 시사점과 더 나은 의사결정을 위하여 사용될 정

보의 새로운 의미를 찾아내는 것을 말한다. 빅데이터의 특징은 방대한 양의 정보가 매우 빠른 속도로

분석·처리되어 개인에 관한 다양한 정보를 생성하여 개인이나 법인 등 수요자에 맞게 정확하고 개인

화된 서비스를 제공할 수 있도록 한다는 점이 특징이고, 사물인터넷은 빅데이터와 더불어서 모든 사

28 클라우드컴퓨팅법에서의 이용자정보는 “클라우드컴퓨팅서비스 이용자(이하 "이용자"라 한다)가 클라우드컴퓨팅서비스를 이용하여

클라우드컴퓨팅서비스를 제공하는 자(이하 "클라우드컴퓨팅서비스 제공자"라 한다)의 정보통신자원에 저장하는 정보(「국가정보화

기본법」 제3조제1호에 따른 정보를 말한다)로서 이용자가 소유 또는 관리하는 정보”로서 개인정보만을 말하는 것은 아니지만,

이용자정보 중에는 개인정보도 포함될 수 있으므로 개인정보보호에 대한 문제와 밀접한 관계가 있다.

62

물이 네트워크로 연결되고 지능형 사물로부터 사물 주변의 다양한 정보를 수집·분석하여 그러한 분

석된 정보를 바탕으로 지능형 서비스를 제공할 수 있다는 점을 특징으로 한다.29 IoT는 수많은 사물과

인간이 네트워크로 연결되어 수많은 정보를 수집 또는 생성시키게 되므로 양적으로 대규모의 데이

터를 처리하는 빅데이터라고 할 수 있으며, 질적으로도 데이터 마이닝을 통해 의미있고 가치있는 정

보로 전환시키는 것이므로 빅데이터에 해당된다고 할 수 있다. 그러므로 IoT는 빅데이터와 매우 밀접

한 연관이 있으며, 인간 뿐 아니라 사물들까지 수집한 데이터를 네트워크를 전송한다는 점에서 빅데

이터의 외연이 보다 확장된 것이라고 할 것이다.

4) M2M

일반적으로 사물통신(Machine-to-Machine Communication; M2M)이란 ‘사람과 사물’, ‘사물

과 사물’ 간 지능통신 서비스를 언제 어디서나 안전하고 편리하게 실시간 이용할 수 있는 미래 방송

통신융합 ICT인프라로의 진화를 의미한다. 사물통신은 21세기 초에 정립된 개념으로 현재 사물통

신이라는 개념은 각 기관들마다 다르게 사용되고 있으며, 기술적으로는 유비쿼터스 센서 네트워크

(Ubiquitous Sensor Network, USN), IoT(Internet of Things) 등 여러 개념과 혼용되어 사용되고

있다. 이를 종합해보면 “지능화된 사물들이 연결되어 형성되는 네트워크상에서 사람과 사물 (물리

또는 가상), 사물과 사물 간에 상호 소통하고 상황인식 기반의 지식이 결합되어 지능적인 서비스를

제공하는 글로벌 인프라”로 정의할 수 있다. 사물통신(M2M)과 IoT는 유사하다고 할 수 있으나, 사물

통신은 Machine이 주체가 되어 Machine-to-Machine으로 통신하는 측면이 강한 반면, IoT는 사람

을 중심으로 Things간의 연결되는 환경 측면이 강하다고 할 수 있다.30 이러한 관점에서 M2M의 구

조를 그림으로 표현하면 다음과 같다.

[그림1] M2M의 구조

29 최경진, 빅데이터 · 사물인터넷 시대 개인정보 보호법제의 발전적 전환을 위한 연구, 중앙법학 제17집 제4호, 2015. 12, 25-26면.

30 김영훈/양준근/김학범, M2M/IoT의 동향과 보안위험, 정보보호학회지 제24권 제6호, 2014. 12, 48-50면.

63

이러한 사물통신의 개념을 기계를 넘어 사람은 물론 공간, 프로세스 등 세상에 존재하는 유무형의 객체

로 확장한 것이 IoT라고 할 수 있으며, IoT는 기계와 기계사이의 M2M과 사람과 사람사이의 유비쿼터

스의 융합환경으로 말 그대로 모든 것들을 인터넷(네트워크)을 통해 연결하는 것이다. 이러한 관점에서

IoT의 구조를 그림으로 표현하면 다음과 같다.

[그림2] IoT의 구조

5) IoE

최근에는 사물 인터넷을 확장한 개념으로 ‘만물 인터넷(Internet of Everything, IoE)’이라는 용어도

나왔다. 만물 인터넷은 사물과 사물을 연결하는 것뿐 아니라 각종 센서와 기기를 통해 사물과 사람,

데이터와 데이터 등 세상에서 연결 가능한 모든 것을 연결하여 정보를 주고받으며 특정 목적의 기능

을 하는 것을 말한다. 예를 들어, 사람이 웨어러블 기기를 착용한 후 출근을 하면 날씨뿐 아니라 현

재 머무르는 지역의 공기 오염도와 같은 대기 질에 대한 정보와 몸 상태를 파악할 수 있다. 몸에 착용

한 센서와 도로나 빌딩에 있는 센서가 통신을 하면서 정보를 주고받는다. 어린이들에게 착용하게 하

여 미아방지나 납치와 같은 범죄를 예방하기도 한다. 이러한 시스템이 확장하면 개인이나 가정을 넘

어서 도시, 국가에 적용된다.31 IoE는 IoT의 모든 점을 흡수하고 있고, IoT에서 연결하지 못한 사람, 사

물, 데이터, 프로세스를 인터넷에 연결하는 것이 목적이다.32 즉 IoE는 IoT의 확장 개념으로서 사물에

국한되어 있는 IoT의 연결 대상을 사람, 생물 등 모든 사물로 확대한 것이다.33 규범적인 측면에서 IoT

와 IoE는 동일한 것으로서 구별의 실익이 있다고 보이지는 않는다. 왜냐하면 IoT의 양적·질적 확장개

념이자 발전적 모델이 IoE이며, 규범적인 특성의 차이는 없다고 보아도 무방하기 때문이다. 이해를

돕기 위해 IoE의 구조를 그림으로 표현하면 다음과 같다.

31 이진천, 사물인터넷(IoT)과 만물인터넷(IoE), 설비저널 제45권 제3호, 대한설비공학회, 2016. 3, 88면.

32 강창호/김종일/황우근/김동구, IoT와 IoE 위한 보안기술동향 및 요구조건, 한국통신학회 종합 학술발표회 논문집(하계), 2014. 6,

576면.

33 정진도, 사물인터넷(IoT)와 만물인터넷(IoE), 국토 제403호, 국토연구원, 2015. 5, 49면.

64

[그림3] IoE의 구조

다. 기술발전의 규범적 함의

IoT는 컴퓨터와 디지털로 시작되는 정보사회의 현 단계에서의 최종산물이다. 컴퓨터가 실용화된 이후

의 기술의 발전과 그에 따른 생활의 변화는 눈부신 것이지만, 기술의 발전은 연속선상에서 점진적으로

이루어지는 ‘점수(漸修)’의 과정이라고 할 것이다. 인류가 만든 모든 기술은 기존의 기술을 바탕으로 점

진적으로 진보하여 온 것이므로, 모든 기술적인 개념은 분절된 것이 아니며 서로 연관되고 결합되고 고

양된 형태로 진화되어 온 것이다. 컴퓨터 하나만 보아도 CPU, 메모리, 입출력장치, 보조기억장치, 통신

장치 등이 모두 개별적으로 기술발전을 하여 오면서 서로 결합되고 상호 영향을 끼쳐서 컴퓨터라는 기

기 전체의 발전이 이루어진 것이다. 네트워크 역시 단순히 컴퓨터와 컴퓨터를 연결하여 서로 정보를 겨

우 주고받을 수 있는 수준에서 발전하여 유선 인터넷을 거쳐 무선 인터넷과 나아가 모바일 스마트 환경

에 까지 이르게 된 것이다.

그러므로 사물인터넷 역시 특정 기술을 의미하는 것이 아니라 기존의 특정기술도 사람과 사물, 서비스

가 통합된 형태로 활용이 된다면 사물인터넷 제품 또는 서비스로 간주된다. 이러한 IoT의 통합화 현상

은 디바이스의 경량화와 각종 센서기술의 개발, 소프트웨어/하드웨어/개방형 서비스 플랫폼 기술, 인식

기술/상황인지기술, 통신/네트워크 기술, 응용 서비스와 매쉬업 기술의 발전으로 기인하는 것이므로 사

물인터넷은 기존의 ICT의 발전 방향으로 볼 수 있다.34

기술진보는 일정한 방향성을 갖는 것으로 생각해 볼 수 있다. 우선 기술진보는 ‘고성능화’의 방향으로

진행된다. 자동차, 컴퓨터, 기차, 비행기 하다못해 백열전구만을 생각해봐도 기술진보는 고성능화의 길

로 진행되어 왔다. 동시에 기술진보는 ‘소규모화’의 방향으로 이루어져왔다. 큰 방 하나를 가득 채울 정

34 김호원, 사물인터넷환경에서의 보안/프라이버시 이슈, TTA Journal Vol.153, 2014. 5, 35면.

65

도의 크기에서 책상 위 나아가 손바닥 위에 올려놓을 수 있는 정도의 크기로 축소된 컴퓨터나 엄청난 크

기의 인쇄기가 책상위에 놓을 정도의 프린터로 소규모화의 길을 걸어왔다. 더 작은 규모로 더 나은 성능

을 추구하는 것이 기술진보의 방향성이라고 할 수 있다. 이러한 소규모화된 고성능화는 기술진보가 ‘개

인화’로 나아갈 수 있도록 한다. 과거에는 대규모의 설비를 갖추어야만 가능했으므로 기업화된 조직이

필요했다면, 이제는 소규모의 고성능화된 기술로 대체할 수 있으므로 개인적인 차원에서 수행할 수 있

게 되었다. 예를 들어 LP음반의 제작은 대규모의 설비가 필요하고 개인적인 차원에서 감당할 수 있는

일이 아니었으나, CD음반의 제작은 개인용 PC 하나면 충분하게 되었다.35

기술발전이 위와 같은 경향성을 갖고 연속적이고 점진적으로 발전하여 온 것이므로 다양한 컴퓨팅 개념

들 간에 다소간 어느 정도 중첩적이거나 어느 기술이 다른 기술을 근간으로 하는 현상은 필연적인 것이

다. 새롭게 등장하는 IoT라고 해서 그것이 기존의 클라우드컴퓨팅이나 빅데이터, M2M과 명확히 구분되

는 완전히 독립적인 개념이 될 수는 없다. 이는 클라우드컴퓨팅과 빅데이터와의 관계에서도 마찬가지이

다. 클라우드컴퓨팅을 통해 수많은 데이터가 개별 디바이스가 아니라 중앙집중적인 서버로 전달되는 환

경이 구축된 이후에, 비로소 엄청난 규모의 데이터로부터 중요한 의미를 새롭게 도출해 낼 수 있는 빅데

이터라는 기술개념이 탄생될 수 있게 된 것이다. 또 클라우드컴퓨팅도 고속으로 대량의 데이터를 용이하

게 전송할 수 있는 무선 네트워크와 관련된 통신기술의 발전을 근간으로 하는 것이므로, 만약 통신기술

의 눈부신 발전이 없었다면 클라우드컴퓨팅도 요원한 일일 것이다. 따라서 앞서 살펴본 다양한 컴퓨팅

개념들을 명확히 구분 획정하는 것은 규범적으로는 큰 의미가 있지도 않고 사실 가능하지도 않다.36

특히 산업진흥을 위한 진흥법제에서는 다양한 컴퓨팅 개념을 엄격히 구분할 필요성이 더욱 줄어든다.

앞서 살펴본 바와 같이 컴퓨팅 개념들이 서로 결합되고 연관되어 있으므로 이를 구분하여 진흥하는 것

이 가능하지도 않을 뿐만 아니라 또 그렇게 할 이유나 필요도 없다. 다만 사업진입규제나 영업규제와 관

련된 규제법제에서는 법적 개념이 명확히 획정되지 아니하면 불필요한 규제를 양산하여 관련 산업 전

체를 위축시킬 위험이 있으므로 가급적 불명확한 법적 개념정의를 지양하여야 한다.

IoT는 클라우드컴퓨팅, 빅데이터, M2M 등 다양한 용어들의 컴퓨팅 기술이 현 시점에서 가장 진보된 형

태로 구현된 것이므로 각 기술 개념과의 공통적인 점과 이질적인 점이 공존한다. 개인정보보호의 관점

에서 각 기술적 유형들에서의 기존의 연구성과를 그대로 기계적으로 적용하는 것은 무리일 수는 있으

나, 공통적인 문제상황에 대해서는 매우 중요한 시사점을 제공하게 될 것이다. 예를 들어 클라우드컴퓨

팅에서 주로 문제가 되었던 구글이나 아마존 같은 글로벌 클라우드컴퓨팅 사업자의 해외 서버에 개인

정보를 저장하여 활용하는 경우 국외 이전에 관한 법적용의 문제라던가, 빅데이터에서 개인정보가 포

함된 정보를 빅데이터 처리함에 있어서 개인정보의 비식별처리와 관련된 문제라던가, M2M통신에서

35 오병철, 슬링박스의 place-shifting에 대한 법적 규율, 정보법학 제12권 제1호, 2008, 76-77면.

36 법규범에서 특정한 기술적인 개념에 국한되는 것은 결코 적절한 것은 아니며, 오히려 그 현상과 기능에 주목한 법적 규율이 되어야

규범으로서의 적절한 수명이 확보될 것이다.

66

‘설계시 프라이버시 고려(Privacy by Design)’의 해법 등은 IoT에서도 그대로 적용될 수 있는 논의라고

할 수 있다. 반면에 자동화된 알고리즘에 의한 IoT통신에서 정보주체의 사전적 동의의 구조적 어려움과

같은 문제들은 기존의 컴퓨팅 개념에서는 찾아보기 어려운 새로운 문제점이라고 할 것이다. 따라서 아

래에서는 기존의 다양한 컴퓨팅 개념에서의 개인정보보호 논의를 반영하고, IoT에 고유한 개인정보보

호와의 갈등 상황에 대해서는 새로운 관점에서 접근하여 해법을 모색할 필요가 있다.

라. 프라이버시관점에서의 IoT 시스템의 구조

1) IoT의 취약성

IoT는 정보를 센싱하기 위한 센서기술과 센싱된 정보에 대한 원활한 통신/네트워킹을 위한 기술, IoT

기기 자체를 위한 칩기술, 기능구현을 위한 OS기술/임베디드 시스템 기술, 디바이스의 자율동작과

지능적 동작을 위한 플랫폼 기술, 대량의 데이터를 처리하는 빅데이터 기술, 유용한 정보추출을 위한

데이터 마이닝 기술, 사용자 중심의 IoT서비스를 위한 웹서비스/응용서비스/WoT(Web of Things)

기술 등 다양한 형태의 기술을 사용하여 사물과 사람, 서비스가 통합된 IoT서비스를 제공한다. IoT는

위와 같은 여러 가지 요소기술이 통합되어 특정서비스를 구성하기 때문에 각 요소기술자체에서의

취약성과 기술 간의 연동시 새로운 프라이버시 취약성이 발생할 가능성이 매우 높다. 또한 IoT환경은

센서 디바이스 공급자와 통신/네트워크 공급자, 서비스 개발자, API개발자, 플랫폼 공급자, 데이터

소유자 등 정보주체외의 다양한 주체가 존재하기 때문에 프라이버시 보장이 어렵게 된다.37

IoT의 프라이버시 침해 우려의 취약성은 IoT환경 전 구간에 걸쳐 존재하는 것이다. 그러므로 정보의

흐름의 단계에 따라 각각 어떠한 위험이 존재하는가를 살펴보면, 그에 대한 규범적 그리고 기술적 대

응방안을 모색하는데 도움이 될 것이다.

2) 센싱

IoT환경에서는 IoT기기가 자율적이고 기계적으로 정보를 수집하여 데이터를 생성하고 이를 다시 평

가하여 새로운 정보로 가공하게 된다. IoT기기가 정보를 수집하기 위한 입력 인터페이스를 구성하고

있는 것이 센서이고, 수집하는 작동이 센싱이다. IoT기기에 부착된 센서가 센싱을 하는 것은 기계적

으로 행하여지므로 수집하는 정보에 개인정보가 포함되었는지 또 그것이 누구의 개인정보인지를 식

별하는 것 역시 사전에 프로그래밍 되어 있지 아니하다면 이를 판단하는 것은 불가능하다. 또 센서가

개인정보를 센싱하는 경우에 정보주체에게 개인정보 수집에 대한 동의를 개별적으로 얻는 과정이

항상 가능한 것은 아니다. 왜냐하면 자율주행을 하는 스마트카가 운행 중에 주변에 주행하는 차량과

의 센싱은 실시간으로 즉각적으로 이루어져야만 하기 때문이고, 사물과 사물 간의 IoT통신을 배후의

37 김호원, 사물인터넷환경에서의 보안/프라이버시 이슈, TTA Journal Vol.153, 2014. 5, 36면.

67

사람이 항상 인식할 수 있다고 기대하기도 어렵기 때문이다. 따라서 동의기반의 현행 개인정보 활용

체계의 한계가 노정되는 것이 불가피하다. 그럼에도 불구하고 곧 수집단계에서의 동의원칙의 폐기

가 불가피하다는 것을 의미하는 것은 아니다. 미국 FTC는 여전히 소비자에게 수집단계에서의 의사

를 선택할 수 있도록 할 것을 권고하고 있다는 점에서 IoT기기의 센싱과정에서의 프라이버시 침해우

려를 여하히 기술적으로나 규범적으로 해소할 것인가는 어려운 문제로 남게 된다.

3) 네트워킹

IoT는 사물과 사물 그리고 사물과 사람이 인터넷으로 연결되어 데이터를 주고받는 것이므로 데이터

를 전송하는 유무선 네트워크가 매우 중요하다. IoT의 통신은 이동통신처럼 단대단(單對單)통신 뿐

만 아니라 다대다(多對多)통신이 이루어지게 된다. 그러므로 기기 보유자 이외에도 다수의 관련 당

사자(기기제조자, 통신사업자, 서비스제공자, 플랫폼사업자 등등)의 네트워크 참여가 필수적이게 된

다. 이러한 다수의 다수를 향한 쌍방향 통신에서는 결국 다수가 통신에 포함된 개인정보를 공유하는

현상이 유발될 수밖에 없다. 그러므로 네트워킹 과정에서 해킹 등의 비인가 외부의 침입뿐만 아니라

인가된 주체들 사이에서의 프라이버시 침해의 위험도 증가되는 것이 필연적이다.

4) 데이터축적

IoT환경에서는 수많은 정보를 통신과정에서 주고받게 되고 이를 서버에 저장하는 형태로 정보가 축

적되게 된다. 그러므로 개별 데이터가 데이터베이스화 되는 현상이 생기게 된다. 개인정보의 침해 우

려는 오프라인상의 개인정보가 온라인을 통해 대량화·데이터베이스화 되었을 때 높아지게 되어, 개

인정보의 보호 필요성이 극대화 된다.38 따라서 IoT환경에서는 필연적인 데이터의 축적으로 인해 개

인정보의 침해우려가 증가할 수밖에 없다. 더 큰 문제는 데이터를 축적하는 주체가 앞서 설명한 것처

럼 다수가 될 수 있다는 점이다. IoT에 참여하는 다수의 관계당사자에게 데이터가 모두 축적된다면

현재의 개인정보보호 체계로는 개인정보의 실효성있는 보호가 어려울 수 있으나, 그렇다고 해서 데

이터의 축적을 줄이거나 또는 관계당사자의 수를 줄이는 것이 IoT의 원활한 서비스를 위해서는 제약

이 있다는 딜레마에 처하게 될 것이다.

5) 데이터 마이닝

데이터베이스의 개인정보로부터 새로운 유용한 정보를 추출해내는 데이터 마이닝은 IoT에 고유한

것은 아니다. 데이터 마이닝에 대한 개인정보보호의 우려는 이미 빅데이터기술에서 논의가 이루어

졌다.39 빅데이터의 처리과정은 데이터와 데이터 사이의 연결성을 그 본질적 요소로 하기 때문에 데

38 김현경, 개인정보의 개념에 대한 논의와 법적 과제, 미국헌법연구 제25권 제2호, 2014. 8, 157면.

39 이경규, 정보권력의 견제와 균형, 인하대학교 법학연구 제17집 제4호, 61면 이하; 차상육, 빅데이터 환경과 프라이버시의 보호, IT와

법연구 제8권, 2014. 2, 205면 이하 등 다수.

68

이터의 수집단계에서는 개인식별성을 갖지 않은 정보라고 할지라도 데이터의 처리과정에서 사후적

으로 특정 개인에 대한 식별성이 발생하는 상황을 쉽게 떠올릴 수 있다. 이와 같은 데이터 처리과정

에서 생성되는 개인정보에 대해 현행 개인정보 보호법상의 정보주체에게 부여되는 동의권 등 권리

를 그대로 부여할 것인지, 부여한다면 데이터 처리의 어느 단계에서 그와 같은 개인정보보호조치를

정보처리자에게 요구할 것인지에 관한 새로운 문제가 발생할 수 있다.40

마. IoT의 정보보안(Security)과 개인정보보호(privacy protection)

2014년 미국 휴렛패커드의 연구에 따르면 IoT기기의 70%가량이 공격에 취약하다고 한다.41 IoT의 정

보보안 취약점은 주로 센싱 단말기와 네트워킹 과정에서 발견할 수 있을 것이다. 특히 CPU성능, 메모리

크기, 소비전력 등의 제약을 갖는 기기는 극히 소형화 그리고 경량화되어야 하므로 기존의 암호기술을

그대로 적용하는 것이 어렵고 기기의 성능과 보안강도를 고려한 경량·저전력 암호기술이 필요하게 된

다. 따라서 많은 저전력IoT기기는 생래적으로 보안에 취약할 수밖에 없다.42 특히 IoT단말기기의 본질적

요소는 IoT 그 자체가 아니라 다른 기능이나 서비스에 집중되어 있고 IoT는 부수적이고 보조적인 기능

요소에 불과하므로 해킹에 취약할 수밖에 없는 한계를 갖는다. 또 네트워크도 서로 다른 기능을 수행하

는 IoT기기간의 통합네트워크가 필요하고 그에 따라 이종(異種)간의 네트워크와 게이트웨이를 통합하

는 과정에서 해킹이 상대적으로 용이할 우려가 있다. 또 IoT환경에서는 수많은 사물들이 연결되므로 악

성코드에 감염된 사물봇의 수도 그만큼 많아지게 되므로 이들이 행하는 DDoS공격도 엄청난 양의 트래

픽을 가져오게 되므로 이를 모니터링하고 관리하는 기술이 요구된다.43

IoT기기에서 수집된 정보 및 처리된 정보는 통신망을 통하여 이동하므로 공유기 송수신 과정의 신호교

란, 정보유출, 위·변조 및 정보의 가용성 침해에 대한 위협이 발생할 수 있다.44 IoT에서 사용될 네트워크

가 상용 LTE네트워크와 같이 QoS를 보장받고 보안성이 강화된 고품질의 네트워크를 선택하기는 경제

적인 비용 상의 어려운 문제가 있으므로, 만약 WiFi와 같은 저품질의 네트워크를 선택하게 되면 정보보

안의 위협은 더 증가될 것이다. IoT기기의 센서를 통해 통신망으로 전달되어진 정보는 플랫폼에서 정보

의 수집·가공·저장·검색·송수신 등의 정보처리가 이루어진다. 플랫폼은 IoT서비스를 위해 공통적으로

사용하는 기본구조, 응용프로그램을 개발할 수 있는 인프라, 반복 작업의 주 공간 또는 구조물들을 의미

한다.45 플랫폼은 말 그대로 정보의 정류장에 해당되므로 플랫폼에 대한 보안이 이루어지지 않으면 집

40 허성욱, 한국에서 빅데이터를 둘러싼 법적 쟁점과 제도적 과제, 경제규제와 법 제7권 제2호(통권 제14호), 2014. 11, 16면.

41 H. Michael O’Brien, The Internet of Things, 19 No.12 Journal of Internet Law, 2016, p.12.

42 Lucy L. Thomson, Insecurity of the Internet of Things, 12 No.3 ABA SciTech Law, 2016, p.34.

43 미래창조과학부, 사물인터넷[IoT] 정보보호 로드맵, 2014. 10, 13-14면.

44 한국인터넷진흥원, 사물인터넷 보안 위협 동향, Internet & Security Bimonthly 제5호, 2014, 12면.

45 손승우/박장혁/문수미, 사물인터넷 사업자를 위한 정보보안 법률의 개선 방안 연구, 법학연구 제57권 제1호(통권87호), 2016. 2,

11면.

69

적된 정보 모두에 대한 정보보안이 이루어질 수 없게 된다. 따라서 플랫폼에 대한 정보보안은 IoT에서

가장 중요하다고 할 수 있다. 그 외에도 간단한 통신 기능만 탑재된 단말 디바이스의 경우 개별적으로

보안소프트웨어를 설치해 구동하는 것이 어렵고, 외부에서 해킹사실을 확인하기가 용이하지 않으며 복

잡한 네트워크 구조로 인하여 침투경로가 다양하다는 점도 정보보안의 취약점으로 지적되고 있다.46 즉

다른 디지털 디바이스와 네트워킹과 같이 본질적으로 해킹으로부터 취약하다고 할 수 있다.

보안위협의 사례도 여러 가지 제기되고 있는데, 스마트 TV와 웹서버간에 SSL통신시 침입자가 스마트

TV와 웹서버간에 중간자 공격(Man-in-the-Middle attack)을 시도하여 전송데이터에 접근하여 비인

가 열람 및 위변조가 가능하거나, 악성코드가 포함된 동영상 파일을 통해 스마트TV 등 카메라가 내장된

디바이스에 의한 사용자의 사생활 노출이 되거나, 침입자가 스마트냉장고에 침입하여 저장된 메일주소

또는 임의 메일주소로 스팸메일을 대량 발송할 수도 있다.47

정보보안은 개인정보보호와 별개의 문제가 아니라 서로 연관되어 있다. 정보보안은 개인정보를 포함한

모든 정보의 안전성을 확보하는 것으로, 정보의 수집·가공·저장·검색·송수신 중에 정보의 훼손·변조·

유출 등을 방지하기 위한 관리적·기술적 수단을 마련하는 것이다. 정보보호가 정보의 보전과 비밀성을

유지하기 위한 것이라면, 정보보안은 이와 더불어 정보의 기밀성 자체와 무결성·이용가능성을 유지하

기 위한 것이다. 개인정보는 개인의 정보에 대한 보호문제인데 반해 정보보안의 경우 정보를 다루는 시

스템의 작업방식을 보호하는 것이다.48 그러므로 정보보안은 정보통신망을 통해 처리되는 정보의 상당

부분을 차지하는 개인정보를 안전하게 취급하고 관리하는 것을 포함하는 광의의 개념이라고 이해할 수

있다. 다만 정보통신망이 아닌 오프라인을 통해서도 개인정보는 수집, 제공, 활동 등 취급되므로 개인정

보보호는 정보보안을 전제로 하지 않을 수도 있다. 따라서 정보보안과 개인정보보호는 온라인의 경우

에는 정보보안이 개인정보보호를 포함하는 보다 넓은 개념이지만, 오프라인의 개인정보보호는 정보보

안과는 구분되는 것이라고 정리할 수 있으므로 다음과 같은 교집합으로 정리할 수 있다.

[그림4] 개인정보보호와 정보보안

46 심우민, 사물인터넷 개인정보보호의 입법정책, 헌법학연구 제21권 제2호, 2015. 6, 7면.

47 미래창조과학부, 사물인터넷[IoT] 정보보호 로드맵, 2014. 10, 48면.

48 손승우/박장혁/문수미, 사물인터넷 사업자를 위한 정보보안 법률의 개선 방안 연구, 법학연구 제57권 제1호(통권87호), 2016. 2,

8면.

비개인정보보안

오프라인개인정보보호

온라인개인정보보호& 정보보안

70

IoT환경에서는 정보보안은 개인정보보호의 핵심과제라고 할 수 있다. 정보보안이 완벽하게 이루어지

면 제3자로부터의 개인정보침해 문제는 거의 대부분 해결된다고 볼 수 있다. 그러나 정보보안을 확보

하는 것과 IoT 환경에서 적절한 개인정보보호 규범체계를 모색하고 정립하는 것은 다른 관점의 문제라

고 할 수 있다. 즉 침해로부터의 개인정보보호와 바람직한 개인정보 보호 정책 또는 규범체계의 수립은

구별되는 것이다. 정책방향이나 규범체계와 관계없이 항시적으로 제3자의 위법한 침해로부터의 개인

정보보호를 위해서는 IoT의 정보보안은 매우 중요하다. 다만 단순한 정보보안은 필요조건이기는 하지

만 충분조건은 아님을 주목해야 한다. 왜냐하면 정보보안은 제3자와의 관계에서의 개인정보보호를 위

해서는 결정적인 요소이지만, 정보주체와 IoT참여자 사이의 개인정보 제공 및 활용의 관점에서는 기술

적인 선결문제에 불과하기 때문이다. 결과적으로 IoT환경에서 개인정보의 활용의 규범적 틀을 올바르

게 형성하는 것은 완벽한 정보보안과 더불어 개인정보보호와 IoT산업발전 모두를 충족시키는 첩경이

될 것이다.

3. 프라이버시보호 관점에서의 IoT와 IoT 데이터

가. IoT의 특수한 프라이버시 침해 위험

1) 자동화된 수집과 네트워킹

IoT환경에서 개인정보의 수집, 저장 및 관리 측면에서 볼 때, 기술적으로 진보되고 자동화된 디바이

스 및 센서의 사물 식별능력 및 센서를 통한 데이터, 접속능력에 기반한 정보의 수집능력으로 비합

법적인 데이터 처리, 프로파일링, 추적성들을 확보할 수 있게 되어 개인의 프라이버시에 큰 위험으로

존재하게 되었다.49 특히 사물인터넷은 수많은 기기의 센서가 정보를 광범위하게 수집하는 것을 그

속성으로 하고, 자동화된 수집시에는 예측할 수 없었던 목적을 위하여 가치있게 사용될 수 있으므로,

데이터최소화 원칙의 이행이 불가능하지는 않다고 하더라도 매우 어려운 것이 된다.50

2) 이른바 ‘행태정보’의 수집

IoT환경에서는 침해우려가 있는 개인정보의 범위가 상대적으로 넓어지게 된다. 기존의 IT환경에서

는 정보주체의 개인을 식별할 수 있는 신상정보만을 수집하는 것이 일반적이다. 주로 성명, 주소, 전

화번호, 직업, 가족관계 등의 단순히 정보주체 개인을 특정할 수 있는 정보에 불과하다. 그러나 IoT환

경에서는 신상정보를 넘어서 정보주체의 소비정보, 위치정보, 대금결제정보, 건강정보, 문화정보, 취

향정보 등의 수집이 가능하게 된다. 물론 전통적인 IT환경에서의 신상정보로도 그 개인의 특성을 추

49 스마트기기 보급 확대에 따른 개인정보보호방안 연구 – 사물인터넷 환경을 중심으로, 개인정보보호위원회 연구보고서, 2014. 12,

233면.

50 이대희, 사물인터넷 활용과 개인정보 보호, 경영법률 제25권 제3호, 2015, 381면.

71

론해 내는 것, 예를 들어 특정 지역의 주소나 특정한 직업군으로부터 정보주체의 경제적 환경을 추론

하는 등이 가능할 수도 있겠지만 이러한 추론의 정확도는 낮을 수밖에 없다.

그러나 IoT환경에서 다양한 유형의 행태정보가 수집되어 이것이 상호 결합된다면 심지어는 본인도

잊고 있었던 또는 본인도 인식하지 못하는 행태정보까지도 도출해내게 된다. 이러한 행태정보가 오

랜 기간 누적되면 정보주체의 ‘생활패턴’의 파악으로까지 이르게 된다. 그렇게 되면 생활패턴의 파

악과 신상정보의 결합은 결국 정보주체에 대한 완벽한 분석 및 예측이 가능하게 되며, 프라이버시

의 침해가 가져올 결과는 단순한 불쾌감, 불안감에 그치는 것이 아니라 ‘행동조작(manipulation of

behavior)’의 위험성 그리고 나아가 ‘생애통제(control of life)’까지도 우려된다.

무엇보다도 행태정보의 가장 큰 위험성은 이 행태정보가 특정인을 차별하는데 사용되거나 사회·경

제적인 불균형을 악화시킬 수 있다는 점이다.51 데이터단순한 개인정보라고 생각되는 것들도 이것이

양적으로 그리고 시간적으로 누적되면 질적인 변화를 가져오게 되고 이러한 양질전환은 결국 사회

적인 차별에 까지 이르게 되므로 IoT환경에서의 개인정보보호의 중요성은 더욱 부각될 수밖에 없다.

3) 데이터 마이닝

사물자체의 자율적인 정보수집, 처리 및 데이터 공유가 이루어질 수 있기 때문에 다양한 정보원천(서

비스, 디바이스 등)으로부터의 데이터를 결합하여 데이터 마이닝을 수행할 경우 개인정보를 새로이

창출하여 기존부터 존재하고 있는 개인정보 보호문제가 훨씬 더 중요하게 다루어질 수밖에 없게 되

었다.52 심지어 정보주체도 모르는 사이에 센서에 의해 획득한 정보와 다른 출처에서 나온 정보를 결

합시키거나 데이터 마이닝에 의하여 해당 정보만으로는 알아낼 수 없는 새로운 정보를 생성시킬 수

도 있게 된다.53 예를 들어 보험회사가 자신의 고객이 손목에 차고 있는 Fitbit의 정보를 정보주체도

모르는 사이에 입수하여 건강에 높은 위험이 예측되는 고객의 보험요율을 높일 수도 있다.54

방송통신위원회의 2014년 빅데이터 개인정보보호 가이드라인에서도 수집된 공개된 정보, 이용내

역정보 등을 조합·분석 등 처리하여 산출된 정보를 ‘생성된 정보’라고 하고, 이 생성된 정보에 개인정

보가 포함되어 있을 경우에는 즉시 파기하거나 비식별화조치를 취하도록 규정하고 있다. 그럼에도

불구하고 특정한 개인의 사상·신념, 노동조합·정당의 가입·탈퇴, 정치적 견해, 건강 성생활 등에 관

한 정보, 그 밖에 이용자들의 사생활을 현저히 침해할 우려가 있는 민감정보는 생성할 수 없도록 금

지하고 있다. 이러한 데이터 마이닝에 대한 개인정보보호 관점에서의 규율은 빅데이터의 기술적 연

51 이대희, 사물인터넷 활용과 개인정보 보호, 경영법률 제25권 제3호, 2015, 374면.

52 스마트기기 보급 확대에 따른 개인정보보호방안 연구 – 사물인터넷 환경을 중심으로, 개인정보보호위원회 연구보고서, 2014. 12,

233면.

53 이대희, 사물인터넷 활용과 개인정보 보호, 경영법률 제25권 제3호, 2015, 374면.

54 Swaroop Poudel, Internet of Things: Underlying Technologies, Interoperability, and Threats to Privacy and Security,

Berkeley Technology Law Journal, Vol.31, 2016, p.1015.

72

장선상에 있는 IoT환경에서도 동일하게 적용될 수 있을 것이다.

4) 동의기반 원칙의 한계

IoT기기들은 실시간 사용자를 탐지하고 사물끼리 자동으로 정보를 주고받기 때문에 개인정보주체의

사전 검토나 동의를 매번 받는 과정을 수행하기 어렵다.55 특히 정보주체는 정보를 수집하는 센서가

있는 기기들의 존재를 인식하기 어렵고, 인식할 수 있더라도 기기와 직접 상호작용을 하는 것이 아니

며, 기기들이 자신에 관한 정보를 수집하고 제3자와 공유한다는 것은 더욱 인식하기 어려우며 기기

와 정보주체를 연결하는 인터페이스가 존재하지도 않으며 기기도 매우 작아서 개인저보처리에 대하

여 통지를 하거나 동의를 구하는 것이 어렵다. 또한 최첨단 기술을 사용하는 기기들이 엄청난 양의

정보를 수집하고 수집시에는 예측할 수 없었던 다른 목적을 위하여 사용될 수도 있으므로 수집 시에

수집의 목적을 통지하기도 어렵고, 설령 정보주체가 동의를 한다고 하더라도 수많은 기기들이 사용

되기 때문에 불합리할 정도로 수많은 동의를 하게 되어 IoT의 근간을 이루는 통신의 속도가 느려지고

개인에게는 부담으로 작용하여 혁신적인 기술개발이 방해받는 결과가 된다.56 그러나 현행 개인정보

보호법이나 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 정보통신망법)은 개인정보를 수

집하기 위해서는 극히 예외적인 경우를 제외하고는 정보주체의 사전 동의를 받도록 하고 있으므로

현행 개인정보의 동의기반 활용원칙은 한계가 노정될 수밖에 없다.

5) 개인정보제공의 사실상 강제

정보주체의 동의는 자유로운 환경에서 자유의지로 행하여지는 것을 전제로 하여 현행 개인정보보호

관련 법규는 이용자의 동의에 기반한 활용을 규율하고 있다. 그러나 개인정보 보호법 등의 법규에도

불구하고 현실적으로는 동의 거부에 따른 불이익이 서비스 이용에 대한 전면적인 제한인 경우가 많

아 이용자는 서비스 이용을 위하여 사실상 동의를 하지 않을 수 없도록 강제되는 것이 현실이다.57 이

러한 현상은 IoT에서는 더욱 고착화될 것이다. 즉 정보주체인 이용자는 사물인터넷에 의한 일정한 서

비스를 제공받기 위하여서는 어떠한 방식으로든 사전에 동의를 하여야 비로소 사물인터넷환경에 접

근할 수 있게 될 것이다.58

이상과 같이 살펴본 IoT환경에서의 개인정보보호의 침해 위험을 기존의 IT환경과 개인정보 라이프

사이클에 따라서 정리하면 다음과 같다.

55 김혜리/홍승필/박수민, 개인정보보호 가이드라인 연구: 사물인터넷 환경의 개인정보 보호 사례 연구분석을 통해,

보안공학연구논문지 Vol.13, No.2, 2016, 163면.

56 이대희, 사물인터넷 활용과 개인정보 보호, 경영법률 제25권 제3호, 2015, 380면.

57 정남철, 개인정보 보호법제의 법적 문제점 및 개선과제, 법조 제700호, 2015, 154면.

58 이도국, 사물인터넷(Internet of Things)민사법적 문제점에 대한 소고, 한양법학 제26권 제2집(통권 제50집), 2015. 5, 230면.

73

구분 IT환경 IoT환경

수집 사전동의(Opt-in) 디바이스의 자율적 수집으로 정보주체의 사전적 동의에 제한

저장/관리사업자 내부망에 있는 서버에 의해

개인정보 저장/관리센서 등 디바이스에서 개인정보 저장/관리 포인트 증가

이용/제공 주로 국내에서 이용/제공

- 개인정보 해외 이전 빈번

- 빅데이터 기반으로 개인정보 목적 외 이용 가능성 증가

- 재식별화 가능성 증가

파기 개인정보처리자에 의한 파기 협업 증가로 개인정보 공유 및 파기 주체 모호/파기 소홀

공통 개인정보처리자 정의 명확- 개인정보처리자 유형 다양화

- 비인격적 객체에 의한 처리

[표1] IT환경과 IoT환경의 개인정보보호59

나. IoT기기의 구분

1) 개인성 유무

프라이버시보호의 관점에서 IoT기기를 구분함에 있어 가장 중요한 요소는 IoT기기가 특정한 개인과

연관이 있는 것인가의 여부이다. ‘개인연관 IoT기기’는 특정인이 소유 또는 이용하거나 특정인과 연

관성이 강한 IoT기기이다. 가장 대표적인 개인연관 IoT기기는 스마트폰이라고 할 수 있으며, 스마트

카 등과 같이 특정인의 명의가 있는 경우도 여기에 해당된다. 반면에 ‘순수사물 IoT기기’는 특정인과

결합되지 않거나 특정인의 정보를 수집하지 않는 IoT기기로서, 예를 들어 일정한 지역의 온도나 습

도, 기압 등을 측정하거나 일정한 구간의 차량 통행량이나 평균속도만을 수집하는 센서가 여기에 해

당된다고 할 수 있다. 이 중에서 개인연관 IoT기기만이 프라이버시 문제를 야기하며, 순수사물 IoT기

기는 특정 개인과는 관계가 없으므로 프라이버시의 문제를 야기하지 않는다.

그러나 IoT기기의 개인성유무를 구분하는 것이 반드시 용이하지는 않다. 왜냐하면 개인과의 연관성

을 어느 정도까지 인정할 수 있는지 또는 누구와의 연관성이 있는 것으로 볼 것인가는 까다로운 문제

이기 때문이다. 스마트폰이나 스마트카와 같이 특정한 1인과의 명의상의 연관성이 있는 경우와 달리

스쿨버스나 렌터카와 같이 특정한 집단 또는 다수의 연관성을 갖는 경우에는 개인성을 판단하는 것

이 쉽지 않다.

2) 이동성 유무

IoT기기가 이동성이 있는가의 여부로 기기를 다시 구분할 필요가 있다. 왜냐하면 이동성이 있는 경우

59 스마트기기 보급 확대에 따른 개인정보보호방안 연구 – 사물인터넷 환경을 중심으로, 개인정보보호위원회 연구보고서, 2014. 12,

234면.

74

에는 주고받는 정보에 위치정보가 포함되어 있을 가능성이 높고 위치정보가 포함되어 있다면, 위치

정보의 보호 및 이용 등에 관한 법률(이하 위치정보보호법)의 적용대상이 되기 때문이다. 먼저 ‘이동

형 IoT기기’는 IoT기기가 이동성이 있는 경우이며, 스마트폰, 스마트카 등이 여기에 해당한다고 할 수

있다. 반면에 ‘고정형 IoT기기’는 IoT기기가 토지나 건물 등에 정착 또는 고정되어 있는 경우로 스마

트고속도로나 스마트가로등과 같이 객관적으로 이동성이 없는 경우뿐만 아니라 스마트냉장고나 스

마트TV와 같이 본질적으로는 이동성이 있으나 현실적으로 고정되어 활용되는 경우도 있을 것이다.

이동형 IoT기기는 당연히 위치정보보호법의 적용을 받는 것이 원칙이지만, 고정형 IoT기기도 특정인

의 접근을 통해 위치 값을 수집하게 되면 그 때에는 예외적으로 위치정보보호법의 적용이 가능하게

될 것이다.

3) 개인성과 이동성의 결합

프라이버시보호를 위해서는 IoT기기의 개인성과 이동성을 결합하여 고찰할 필요가 있다. 특히 설령

개인연관성이 없는 순수사물IoT기기라 할지라도 위치정보보호법에서는 사물위치정보로서 보호하

고 있으므로 프라이버시와는 관계가 없을지언정 법적 규율의 대상이 된다. 우선 프라이버시의 관점

에서는 “이동성있는 개인연관 IoT기기”가 가장 큰 문제가 된다. 이 경우는 특정인과 연관되므로 개인

정보와 관계가 되면서도 또한 이동성이 있다는 점에서 위치정보와도 관계가 되어 개인정보 보호법,

정보통신망법과 위치정보보호법이 모두 적용되게 된다. 그리고 “고정형 개인연관 IoT기기”는 개인

정보의 수집과 활용으로 인해 개인정보 보호법이나 정보통신망법이 적용되지만, 이동성이 없으므로

원칙적으로 위치정보보호법상의 문제가 되지는 않는다.

순수사물 IoT기기는 특정개인과는 관계가 없는 IoT기기이므로 개인정보 보호법이나 정보통신망법

이 적용되지 않을 것이다. 다만 위치정보보호법에서 순수한 사물위치정보도 소유자의 동의를 얻어

위치정보를 수집하도록 하고 있으므로 “이동형 순수사물 IoT기기”는 위치정보보호법의 적용대상이

될 수 있을 것이지만, “고정형 순수사물 IoT기기”는 대체로 프라이버시와는 아무런 관계가 없다고 할

것이므로 개인정보와 관련된 법규의 적용범위에 해당하지 않을 것이다.

다. IoT 데이터

IoT기기가 주고받는 데이터가 무엇인가에 따라서 프라이버시와의 연관성이 구분되어질 수 있다. 따라

서 아래에서 IoT 데이터의 성격을 살펴본다.

1) 망관리신호

IoT기기가 주고받는 가장 기초적인 신호는 망관리신호(Network Management Signal)이다. 이는

IoT기기들 간의 네트워크를 유지하고 관리하기 위해 IoT기기 또는 네트워크관리센터 간에 송수신하

75

는 신호이다. 이 신호는 초기에는 네트워크 접속을 위한 인증절차가 포함될 수 있으므로 개인정보가

포함될 수도 있으나, 인증절차가 끝난 이후에는 특별히 개인정보가 포함될 가능성은 없으므로 프라

이버시 보호와는 크게 관계가 없다.

2) 위치데이터

이동형 IoT기기는 본질적으로 위치정보를 주고받지 않을 수 없다. 특히 상용이동통신서비스를 이용

하는 경우에는 기지국과 IoT기기 사이에 반드시 등록하는 절차가 필요하고, 설령 WiFi와 같은 네트

워크를 이용하는 경우에는 AP의 위치정보를 통해 기기의 위치 값이 파악되게 된다. 전술한 바와 같

이 이동형 IoT기기가 개인연관 IoT기기인 경우에는 기기의 위치 값이 개인위치정보가 되고, 사물연

관 IoT기기인 경우에는 기기의 위치 값이 사물위치정보로 보호를 받게 된다. 즉 특정한 사람과 연관

성이 전혀 없는 물건, 예를 들어 자동차회사에 납품하는 부품들의 위치정보와 같은 순수사물위치정

보라도 위치정보보호법의 적용을 받게 된다.

3) 사물데이터

IoT기기가 전달하는 데이터의 대부분은 사물정보가 된다. 이 사물정보는 그 자체로는 개인의 신상과

는 아무런 관계가 없지만 사물의 소유관계나 이용관계로부터 개인의 행태정보로 의미를 갖게 된다.

예를 들어 특정인의 가정에 있는 스마트냉장고의 개폐 시간의 정보나 특정가정의 스마트 그리드의

사용전력량은 사물정보이지만 이를 통해 소유자나 이용자의 생활패턴이나 행동방식에 대한 정보를

추론해 낼 수 있게 된다. 사물정보는 크게 ‘사물소유정보’와 ‘사물생성정보’로 구분해 볼 수 있다. 사물

소유정보는 IoT기기의 이용자 또는 소유자의 개인정보로서 그 자체로서 개인정보가 되지만, 사물생

성정보는 앞서 설명한 사물이 생성시키는 정보로서 개인의 행태를 추론해 낼 수 있는 사물정보라고

할 수 있다. 사물소유정보는 그 자체로 개인정보 보호법이나 정보통신망법의 규율대상이 되지만, 사

물생성정보는 빅데이터에서 말하는 ‘생산된 정보’로서 특별한 규율의 대상이 된다고 할 것이다.

4) 다중데이터

IoT기기의 정보 중에는 다수의 사람의 집단에 관한 데이터도 있을 수 있다. 사람 집단에 대한 정보라

도 그 집단을 특정할 수 있는 경우와 집단을 특정할 수 없는 경우로 다시 나누어 볼 수 있다. 예를 들

어 시내버스에 관한 정보, 예를 들어 현재의 위치, 탑승객수, 현재까지의 요금합계 등은 불특정 다수

의 사람에 대한 정보를 포함하는 것이지만, 특정한 학교의 스쿨버스와 같은 경우 특히 극히 소규모

장애인학교의 스쿨버스와 같은 경우에는 그 대상이 매우 특정된 집단이라고 할 수 있다. 다만 개인정

보 보호법이나 정보통신망법에서 개인정보란 ‘특정인에 관한 정보’만을 말하므로 설령 소수라고 하

더라도 특정 집단에 대한 정보는 현행법상으로는 법적용의 대상이 되지 않고 있다.

76

5) 개인데이터

IoT기기가 주고받는 정보 중에 프라이버시와 가장 밀접한 정보는 두말할 나위 없이 개인데이터에 관

한 정보이다. 개인데이터는 크게 ‘개인식별정보’와 ‘개인특성정보’로 나누어 볼 수 있다. 먼저 개인식

별정보는 다시 개인을 식별할 수 있는 데이터로서 주민등록번호, 학번과 같이 그 자체로서 특정인과

1대1 매칭이 되는 ‘개인특정식별정보’와 다른 정보와 용이하게 결합하여 식별할 수 있는 ‘개인결합식

별정보’로 나누어 볼 수 있다. 이 중에서 개인특정식별정보는 식별성이 매우 강하므로 특별한 보호를

해야 할 필요가 있으며, 우리나라의 주민등록번호나 일본 개정 개인정보 보호법상의 개인식별정보

로서 강한 보호를 하고 있다. 개인결합식별정보에 대해서는 어느 정도의 결합가능성이 있어야 개인

정보로서의 성격을 갖는가 하는 논란이 지속되고 있으며, IoT환경에서 식별성이 수정되어야 하는가

역시 뜨거운 논란의 대상이 되고 있다.

개인특성정보는 그 자체로는 개인을 식별하는 정보가 아닌 개인의 특성을 나타내는 정보이다. 개인

특성정보는 개인식별정보와 결합되었을 때 큰 의미를 갖게 된다. 개인특성정보는 다시 ‘개인민감정

보’와 ‘개인행태정보’로 나누어 볼 수 있다. 먼저 개인민감정보는 개인의 특성 중에서도 특히 민감한

건강, 성생활, 정치적 성향 등에 관한 정보로서 특히 스마트헬스 등에서 주로 문제가 될 것이며, 개인행

태정보는 개인의 행동양식에 관한 정보로서 빅데이터에서 주로 문제가 되었던 특정인의 소비생활정

보 등을 모바일신용카드와 같은 IoT기기를 통해서 수집하는 경우를 생각해 볼 수 있다. 이러한 개인특

성정보는 특히 사회적 차별을 야기할 수 있다는 점에서 매우 신중하게 활용되어야 할 필요가 있다.

[그림5] 개인정보의 유형

개인식별정보

개인특성정보

개인정보

개인특정식별정보

개인결합식별정보

개인민감정보

개인형태정보

특정인과

1대1 매칭

다른 정보와

결합하여 식별

민감한 특성정보

행동양식 정보

건강, 정치성향

신용카드내역

주소, 이메일

주민번호 등

77

4. IoT 프라이버시 해외 동향

가. EU

1) 2016년 일반정보보호규칙(General Data Protection Regulations)

① 의의

EU의 개인정보보호와 관련된 대표적인 법규범은 1995년 10월 제정된 “개인정보의 처리와 관련한

개인의 보호와 개인정보의 이동에 관한 유럽의회 및 이사회의 지침 95/46/EC”(이하 1995년 정보

보호지침)을 들 수 있다. 동 지침은 EU에서의 개인정보보호에 관한 일반법으로서 기능하여 왔으나,

제정된 지 20여년이 지나 그간의 급격히 변화된 개인정보보호를 둘러싼 환경을 규율하기에 적합하

지 않다는 점으로 인해 이에 대한 개정작업이 추진되어 왔다. 그 결과 2016년 4월 27일 “개인정보

의 처리와 관련한 자연인의 보호와 개인정보의 자유로운 이동에 관한, 그리고 지침 95/46/EC를 폐

지하는 유럽의회 및 이사회의 규칙(EU)2016/679”(이하 EU일반정보보호규칙)이 성립되었다.60

② 개인정보의 개념

EU일반정보보호규칙 제4조 제1호는 개인정보를 개념정의하면서, 식별된 또는 식별가능한 자연인

이란 특히 이름, 식별번호, 위치정보, 온라인 식별자와 같은 식별자 또는 그 자연인의 물리적, 심리적,

유전적, 정신적, 경제적, 문화적, 사회적 정체성에 특정된 하나 또는 그 이상의 요소를 참조하여 직간

접적으로 식별될 수 있는 자라고 규정하고 있다. 즉 이전의 1995년 정보보호지침에서는 식별자에

관하여 식별번호만을 언급한 것과 달리 EU일반정보보호규칙에서는 식별번호, 위치정보, 온라인식

별자, 이름으로 규정하고 있으며, 본 규정에는 식별범위에 관한 판단기준이 나와 있지 않지만 EU일

반정보보호규칙 해설(recital)을 살펴보면, “개인이 식별가능한지 여부를 결정하기 위해서는, 그 개

인을 식별하기 위해 개인정보처리자 또는 제3자에 의해 사용되는 합리적으로 가능하다고 생각되는

모든 수단을 고려하여야 한다”고 언급하고 있다.61

③ 가명처리(pseudonymisation)

EU일반정보보호규칙 제4조 제5호는 “가명처리란 분리되어 유지되는 추가적인 정보를 사용하지 아

니하고는 개인정보가 더 이상 특정한 정보주체에게 속하지 않도록 하는 방법으로 처리하는 것을 말

하며, 개인정보가 식별되었거나 식별가능한 자연인에게 속하지 않음을 보장하는 기술적 및 조직적

60 함인선, 「EU개인정보 보호법」, 마로니에, 2016, 14면.

61 신혜원/지성우, 사물인터넷(IoT) 환경에서의 개인정보보호에 관한 규범적 고찰, 법과 정책 제22집 제2호, 제주대학교

법과정책연구소, 2016. 8, 443면.

78

수단을 따르는 것이어야 한다”라고 규정하고 있다. 과거 1995년 정보보호지침안에서는 ‘탈개인화

(Depersonalization)’라는 용어를 규정한 적이 있었다. 이에 따르면 탈개인화란 “개인정보가 내포하

는 정보가 인원, 비용 및 시간을 과도하게 사용하지 않고서는 특정한 개인이나 어떤 개인과 연관지울

수 없는 방식으로 개인정보를 변형시키는 것”이라고 정의한 바 있다.62

EU의 일반정보보호규칙의 ‘가명처리’(pseudonymisation)와 1995년 정보보호지침의 ‘탈개인

화’(depersonalize)가 같은 개념인가는 명확하지는 않다. 비식별화와 익명화 개념이 규범적으로 동

일한 것인가에 대해 이를 명확히 구분할 수 있다는 견해63와 명확하게 구별될 수 있는 용어나 개념

이 아니라는 견해64로 나뉘는 것처럼, 이를 규범적으로 구분하는 것은 매우 어려운 일이다. 다만 기술

적인 측면에서는 ‘비식별화’ 기술의 유형으로 ‘가명처리’, ‘총계처리(Aggregation) 또는 평균값 대체

(Replacement)’, ‘데이터값 삭제(Data Reduction)’, ‘범주화(Data Suppression)’, ‘데이터 마스킹

(Data Masking)’으로 다시 나누는 것으로 보아65, 비식별화는 가명처리를 포함하는 보다 폭넓은 상

위개념으로 다루어지는 듯하다.

EU일반정보보호규칙 제11조에서는 ‘식별(identification)을 요하지 않는 처리’에 관한 규정을 두

고 있다. EU일반정보보호규칙에서의 식별이라 함은 우리나라 개인정보 보호법의 개인정보의 개

념정의에서의 “개인을 알아볼 수 있는”과 동의어라고 할 수 있으므로, EU일반정보보호규칙 제

11조의 식별을 요하지 않는 처리라 함은 일종의 ‘가명처리’(pseudonymisation) 또는 ‘탈개인

화’(depersonalize)라고 할 수 있다. EU일반정보보호규칙 제11조 제1항은 “관리자가 개인정보를

처리하는 목적이 그에 의해 정보주체의 식별을 요하지 않거나 또는 더 이상 요하지 않는 경우에는,

관리자는 오직 본 규칙을 준수하기 위한 목적으로 정보주체를 식별하기 위하여 추가적인 정보를 유

지, 획득 또는 처리할 의무를 부담하지 않는다”라고 규정하고 있다. 또한 동조 제2항은 “이와 같이 식

별을 요하지 않는 처리의 경우에 관리자는 정보주체를 식별할 지위에 있지 않다는 점을 증명할 수 있

다면, 따라서 가능한 한 정보주체에게 이를 고지하여야 한다. 이 경우 제15조부터 제20조까지는 정

보주체가 이 조항들에 따라 권리를 행사하기 위하여 식별을 가능하게 하는 추가적인 정보를 제공하

는 경우를 제외하고는 적용되지 아니한다”고 규정하고 있다.

EU일반정보보호규칙 제15조는 정보주체의 접근권을, 제16조는 정정권을, 제17조는 이른바 잊힐

권리로서 삭제권을, 제18조는 처리제한권을, 제19조는 정보주체의 정장이나 삭제 또는 처리의 제한

에 대한 통보의무를, 제20조는 정보전달권을 각각 규정하고 있다. 그러므로 가명처리된 정보에 대해

서는 이러한 정보주체의 권리와 관리자의 의무가 적용되지 않는 것이 원칙이다. 그 외에는 개인정보

62 함인선, 「EU개인정보 보호법」, 마로니에, 2016, 39면.

63 이은우, 국회토론회 자료집, 2015.8, 9면; 개인정보의 비식별화 처리가 개인정보보호에 미치는 영향에 관한 연구,

개인정보보호위원회 보고서, 2015. 12, 5면에서 재인용.

64 개인정보의 비식별화 처리가 개인정보보호에 미치는 영향에 관한 연구, 개인정보보호위원회 보고서, 2015. 12, 8면.

65 방송통신위원회/한국인터넷진흥원, 빅데이터 개인정보보호 가이드라인 해설서, 2015. 2, 5면.

79

로서의 취급에는 차이가 없다. 즉 가명처리된 정보라고 해서 개인정보로서의 성질이 없어지는 것은

아니다. 또한 EU일반정보보호규칙 제6조의 처리의 적법성에 대한 규정에서 가명처리된 정보에 대

한 예외를 규정하고 있지도 아니하므로 정보주체의 동의라는 처리의 적법성 원칙이 특별히 배제되

는 것은 아니다. 그러므로 가명처리된 정보가 공익, 과학적 연구, 역사연구, 통계목적으로 처리되는

경우에만 정보주체의 동의를 요하지 않는다.66

④ 동의기반 활용원칙과 그 예외

EU일반정보보호규칙은 개인정보 처리와 관련된 원칙을 제5조에서 명확하게 밝히고 있다. EU일반정

보보호규칙 제5조 제1항에 따르면 개인정보는 적법하고 공정하며 정보주체에 대해 투명한 방법으로

처리되어야 한다. 처리의 적법성에 대해 EU일반정보보호규칙 제6조 제1항 (a)에서 정보주체가 하나

또는 그 이상의 특정한 목적을 위하여 자신의 개인정보 처리에 동의한 경우를 최우선적으로 규정하고

있다. 따라서 EU일반정보보호규칙에서도 여전히 동의기반 활용원칙은 그대로 유지되고 있다.

동의기반 활용원칙의 예외도 EU일반정보보호규칙 제6조 제1항 (B)에서 (f)까지 명시적으로 규정하

고 있다. 구체적으로는 정보주체가 당사자인 계약의 이행을 위한 경우 또는 계약을 체결하기 위해 정

보주체의 요청에 따른 조치를 취하기 위한 경우, 관리자에게 부과된 법적 의무를 준수하기 위한 경

우, 정보주체나 다른 자연인의 중대한 이익을 보호하기 위한 경우, 공익상 또는 관리자에게 부여된

공권력의 행사로 임무수행을 위한 경우, 관리자 또는 제3자가 추구하는 정당한 이익을 위하여 처리

가 필요한 경우에는 정보주체의 동의 없이도 처리가 가능하다. 다만 관리자 또는 제3자가 추구하는

정당한 이익을 위하여 처리가 필요한 경우에는, 그 이익이 개인정보 보호를 필요로 하는 정보주체,

특히 아동의 이익 또는 기본권 및 자유 보다 열등한 경우에는 제외하며, 공적기관이 그 임무수행으로

하는 경우에도 적용되지 않으므로 반드시 정보주체의 동의를 필요로 한다.

⑤ 정보이식권

EU일반정보보호규칙 제20조에서는 정보이식권(情報移植權; Right to Data Portability67)을 신설

하고 있다. EU일반정보보호규칙 제20조 정보이식권의 기본 관념은 빅데이터와 클라우드컴퓨팅이 널

리 이용되고 있는 정보사회에서 어떤 정보서비스를 이용하는 정보주체가 그 정보를 방해받지 않고 다

른 정보서비스로 전달할 수 있는 권리라는 것이다. 다만 정보이식권의 행사는 삭제권을 침해하지 않아

야 하며, 타인의 권리와 자유에 불리한 영향을 미쳐서도 안된다. 정보이식권은 공익상 또는 관리자에

게 부여된 공권력의 행사로 이행된 임무의 수행을 위하여 필요한 처리에는 적용하지 않아야 한다.68

66 개인정보 비식별 조치 가이드라인, 국무조정실 외, 2016, 27면.

67 이식성(Portability)이란 정보를 다른 기기로 옮기는 것이 얼마나 용이한가를 나타내는 정도로 주로 특정 기종에서 작동하는

소프트웨어를 다른 기종에서 작동시키는 것이 얼마나 용이한가를 다루는 기술적 용어이다.

68 함인선, 「EU개인정보 보호법」, 마로니에, 2016, 142면.

80

정보이식권은 빅데이터와 클라우드컴퓨팅에서 필요한 새로운 권리개념이긴 하지만, IoT환경에서는

유용성이 제한된다. 개인정보의 이식(移植; Portability)이라고 하는 것이 결국 정보주체의 명시적

동의가 있는 경우에 개인정보처리자에게 자신의 개인정보를 제3자에게 직접 제공하도록 보장하는

것이므로, 사전의 명시적 동의를 얻기 어려운 비인격적 통신 또는 자동화된 통신이 이루어지는 IoT환

경에서의 유용성은 한계가 있을 것이다.

2) 전자통신 프라이버시지침

우리나라의 정보통신망법과 유사하게 전자통신분야에서만 적용되는 특별한 지침도 존재한다.

1997년 12월에 “전기통신분야의 개인정보처리와 프라이버시보호에 관한 지침 97/66/EC”가 제

정되었으나, 2002년 7월에 다시 “전자통신분야의 개인정보 처리와 프라이버시 보호에 관한 지침

2002/58/EC”(이하 2002년 전자통신 프라이버시지침)으로 대체되었다. 2002년 전자통신 프라이

버시지침은 공중통신망에서의 새로운 디지털기술의 발전과 새로운 전자통신서비스의 등장으로 인

해 이용되는 기술에 관계없이 EU역내에서의 공중이용전자통신서비스 이용자의 개인정보와 프라이

버시를 동등한 수준으로 보호하고, 전자통신서비스의 시장과 기술의 발전에 대응하기 위하여 1997

년 전기통신 프라이버시지침의 개정이 요구된다고 밝히고 있다.69

2002년 전자통신프라이버시지침은 2009년 Directive 2009/136/EC70로 개정이 이루어졌다. 개

정의 주요 내용은 스팸메일은 Opt-in 방식으로 사전 동의를 얻지 아니하고는 보낼 수 없도록 금지하

였으며, 이러한 금지를 위반한 경우에는 사법적 구제를 제공할 의무를 회원국에 부과하였다. 또 이용

자의 행위를 감사하고 기록하는 쿠키의 설치는 컴퓨터 이용자의 동의가 없는 한 설치할 수 없도록 금

지하였다. 이로 인해 2009년 개정 지침은 이른바 쿠키법(cookie law)이라는 별칭이 얻기도 하였다.

그리고 권한 없는 접근으로 인한 정보유출이 발생한 경우에는 즉시 감독기관에 통보하여야 하며, 이

용자들에게 손해가 발생할 우려가 있는 경우에는 이용자들에게도 통보하도록 하였다.

전자통신 프라이버시지침은 개인정보 중에서도 특히 개인위치정보에 대한 규정을 두고 있는 점이

특징이다. 전자통신 프라이버시지침에서는 전자통신망 또는 전자통신서비스에 의하여 처리되는 전

자통신서비스 이용자 단말기의 지리적 위치정보를 개인위치정보라고 한다. 특히 통신서비스 이용자

의 단말기를 통해서 확인할 수 있는 개인위치정보 즉 통신서비스에서의 개인위치정보에 한정되어

있다.71

69 함인선, 210면.

70 http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2009:337:0011:0036:en:PDF. (2016.10.16.방문)

71 정상조, “위치기반서비스 규제에 관한 연구”, 2015 NAVER privacy White Paper, 2016, 41면.

81

미국과 마찬가지로 1980년대 이후 상용 이동통신 서비스가 등장하게 되었고, 이동통신 서비스를

제공하기 위해서는 이동통신사가 반드시 기지국을 통해 기지국 쉘 범위 내의 단말기의 정보를 확보

하고 있어야 한다. 이동통신사는 정상적인 이동통신서비스를 원활히 제공하기 위해서는 서비스 가

입 모든 단말기의 기지국 정보를 반드시 보유하여야 하고, 실시간으로 데이터베이스를 변경해 가야

만 한다. 이것이 미국이나 EU가 통신서비스 단말기의 위치정보만을 규율하고 있는 까닭이고 우리나

라가 2005년 위치정보보호법을 제정할 당시의 현실 상황이었다. 다만 미국이나 EU는 그 이후 위치

정보를 보호하기 위한 포괄적인 법률 제정으로 나아가지 아니한 것이지만,72 우리나라는 통신서비스

단말기가 아닌 모든 사물과 개인의 위치정보를 포괄적으로 규율하는 위치정보보호법을 2005년에

제정하였기 때문에 그 범위가 확장된 것이었다.

3) 2014년 사물인터넷 발전에 따른 개인정보보호의견서

사물인터넷과 관련하여 EU의 개인정보감독기구인 개인정보보호작업반(The Article 29 Data

Protection Working Party)는 2014년 9월 16일 사물인터넷 발전에 따른 개인정보보호의견서73(Opinion 8/2014 on the on Recent Developments on the Internet of Things)를 채택하여 공

식적으로 발표하였다. 이 의견서에서 사물인터넷이 전 세계 주요 이슈로 부상하면서 유럽 시민에게 편

익을 주고 있으나, 동시에 프라이버시나 보안에 대한 위협을 증대시키고 있음을 지적하고 있다.74 구체

적인 개인정보보호에 관한 위협으로서, 첫째 정보주체의 개인정보자기결정권을 통한 통제의 약화와

정보의 불균형을 지적하고 있다. 즉 IoT에서는 정보주체의 사전 심사없이 자동으로 정보를 밀어내고

(pushed data) 있으므로 필연적으로 개인정보자기결정권이 약화된다는 것이다.75 둘째로 개인정보

주체의 동의의 무력화를 언급하고 있다. IoT환경에서는 정보주체의 동의를 개별적으로 얻는 것이 어

려우므로 결국 정보주체는 충분한 정보를 갖지 못한 상태에서 “낮은 수준의”(low-quality) 동의만을

하게 된다. 셋째로 IoT에 의해 생성되는 다량의 정보는 데이터 분석이나 교차비교를 통해 정보를 2차

적으로 활용하게 되는데 그로 인해 최초의 목적을 벗어날 위험이 있다.76 끝으로 IoT기기를 통한 개인

정보 분석을 통해 지금까지는 어려웠던 행태정보를 수집하거나 프로파일링할 위협이 증가되며, 설령

비식별처리를 한다고 하더라도 재식별화가 완전히 불가능한 것은 아니라는 문제를 지적하고 있다.77

72 미국의 경우에 수많은 위치정보보호에 관한 연방법차원의 시도가 있었음에도 불구하고 입법에 성공하지 못하였다는 사실로부터,

위치정보보호에 관한 포괄적 법률이 필요한 것인가에 대한 회의가 사회적 공감대를 형성하고 있는 것은 아닌가 하는 추론을 하게

된다.

73 http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommen dation/files/2014/

wp223_en.pdf.(2016.10.16.방문)

74 스마트기기 보급 확대에 따른 개인정보보호방안 연구 – 사물인터넷 환경을 중심으로, 개인정보보호위원회 연구보고서, 2014. 12,

74면.

75 Opinion 8/2014 on the on Recent Developments on the Internet of Things, 2014. 9, p.6.

76 Opinion 8/2014 on the on Recent Developments on the Internet of Things, 2014. 9, p.7.

77 Opinion 8/2014 on the on Recent Developments on the Internet of Things, 2014. 9, p.8.

82

4) 평가

살펴본 바와 같이 최근의 EU일반정보보호규칙에서도 IoT환경을 직접적으로 고려하여 규율하는 조

항은 찾아볼 수 없다. 뿐만 아니라 전자통신분야에 국한하여 적용되는 일종의 특별법적 지위에 있는

법규범이라고 할 수 있는 2002년의 전자통신 프라이버시지침(2009년 개정)에서도 그러한 규정은

존재하지 않는다. 다만 1990년 정보보호지침안에 등장하였다가 1992년 정보보호지침안에서 사라

진 ‘탈개인화’(depersonalize) 개념과 2016년 EU일반정보보호규칙에 명문으로 개념정의된 ‘가명

처리’(pseudonymisation)라는 용어는 IoT환경에 시사하는 바가 크다.

그럼에도 불구하고 EU의 개인정보 보호법도 IoT와 같은 새로운 스마트 사회에 완벽하게 대처하기에

는 여전히 미흡하다는 견해는 주목할 만하다. 즉 최근의 정보통신환경의 급속한 변화로 인하여 EU의

전자통신분야에서의 개인정보의 보호에 관한 현행 2002년 전자통신 프라이버시지침은 2006년과

2009년에 일부 개정하였다고는 하지만, 최근의 스마트환경에 대응하기에는 대단히 부족하다는 것

은 명백하므로 EU의 현행 2002년 지침에 보다 근본적인 법 개정이 요구된다.78 특히 후술하는 일본

의 경우에는 개인정보도 익명처리를 하면 더 이상 정보주체의 동의를 요하지 아니하고 활용할 수 있

고 우리나라 역시 개인정보를 비식별 조치하는 경우에는 개인정보가 아닌 것으로 추정하고 이는 비

식별 조치가 적정하게 된 경우에는 개인정보에 해당한다는 반증이 없는 한 개인정보가 아닌 것으로

보되, 개인정보라는 반증이 나오는 경우 개인정보로 본다는 가이드라인79과는 크게 다른 것이다. 이

러한 점에서 EU의 경우에는 우리나라나 일본에 비해서는 개인정보의 활용보다는 보호에 좀 더 무게

를 두고 있는 것으로 생각된다.

나. 미국

1) 개인정보 보호법의 부재

널리 알려져 있는 바와 같이 미국은 포괄적으로 개인정보보호를 다루는 독립적인 연방법을 두고 있

지 아니하며,80 직접적인 사물인터넷 관련 정책이나 관련 법령도 마련하고 있지 않다.81 대체로 구체

적이고 개별적인 영역에서 각각 별도의 법령이나 판례법을 통해 개인정보를 보호하고 있고, 특히 개

인의 신용정보나 의료정보와 같이 민감도가 상대적으로 높은 영역들만을 규율하는 법령들이 연방이

나 주차원에서 제정되고 있다.82 즉 미국의 법제에서는 EU나 일본 그리고 우리나라와 같은 대륙법제

78 함인선, 「EU개인정보 보호법」, 마로니에, 2016, 279면.

79 개인정보 비식별 조치 가이드라인, 국무조정실 외, 2016, 64면.

80 개인정보의 비식별화 처리가 개인정보보호에 미치는 영향에 관한 연구, 개인정보보호위원회 연구보고서, 2015. 10, 47면.

81 구태언, IoT 시대에 바람직한 개인정보 보호 정책, Telecommunication Review 제25권 제1호, 2015. 2, 18면.

82 해외 개인정보보호 집행체계 및 개인정보보호 주요 동향조사, 개인정보보호위원회, 2012, 16면; 개인정보의 비식별화 처리가

개인정보보호에 미치는 영향에 관한 연구, 개인정보보호위원회 연구보고서, 2015. 10, 47면에서 재인용.

83

와 같은 통일적인 개인정보보호에 관한 원칙이나 규율이 존재하는 것은 아니다. 그리고 당연히 IoT

환경에서의 개인정보보호를 다루는 법규 역시 아직 존재하지 않는다. 미국 FTC는 IoT에서의 프라이

버시와 보안에 관한 보고서에서 빠르게 진화하는 기술진보의 특성과 개인정보보호 및 보안의 위험

이 현실적으로 존재하나 현 시점에서 사물인터넷 관련 특정 법률이 제정되는 것은 시기상조라는 견

해83를 밝히고 있는 것으로 보아 가까운 장래에 입법이 이루어 질 것을 기대하기는 어렵다.

2) 소비자 프라이버시 권리장전

미국은 오바마대통령 명의로 2012년 2월 소비자 프라이버시 권리장전(A Consumer Privacy Bill

of Right)을 발표하였다. 미국 소비자 프라이버시 권리장전 제4조 제2항은 개인정보의 예외로서 비

식별화 정보(De-identified data)에 대해 규정을 하고 있다는 점에서 IoT환경에 시사하는 바를 찾을

수 있다. 소비자 프라이버시 권리장전에서 비식별화 정보 즉 “현실적인 관점에서 특정 개인이나 기기

와 연관되지 않는다고 기대할 수 있을 정도로 개인정보가 변경된 경우에는 (1)항에서 규율하는 ‘개인

정보’에 포함되는 않는다”84라고 규정하고 있다. 미국 소비자 프라이버시 권리장전에 따르면 비식별

화 정보는 개인정보로서의 성격을 완전히 갖지 아니하므로 정보주체의 동의를 요하지 않고 자유롭

게 활용가능하게 된다. 이 점은 일본이나 우리나라가 개인정보로서의 성격을 완전히 부정하지 않는

상태에서 정보주체의 동의를 요하지 않는다는 점만을 밝히는 것과는 구별되는 것이며, 익명처리된

개인정보도 공익, 과학적 연구, 역사연구, 통계목적으로 처리되는 경우에만 정보주체의 동의를 요하

지 않는다는 EU일반정보보호규칙과는 달리 개인정보의 보호 보다는 활용에 더욱 치중한 태도라고

평가할 수 있다.

3) HIPAA 프라이버시 규칙의 비식별화

미국의 개인정보를 다루는 개별 법률 중에 의료분야의 개인정보보호를 규율하는 ‘건강정보의 이식

과 책임에 관한 법률(Health Information Portability and Accountability Act; 이하 HIPAA)’이

있다. 그리고 이 연방법의 내용을 보충하는 행정규칙의 성격을 갖는 HIPAA 프라이버시 규칙이 제

정되어 있으며, 이 HIPAA 프라이버시 규칙에 개인정보의 비식별화와 관련된 규정들을 두고 있다.

HIPAA 프라이버시 규칙 164.514항에 따르면, “개인을 식별하지 않고 개인을 식별할 수 있게 한다

는 합리적인 근거가 없는 건강정보는 개인적으로 식별가능한 건강정보가 아니다”라고 규정하고 있

다. 그리고 HIPAA 프라이버시 규칙의 164.514(b)항에서는 규제의 대상이 되는 주체인 건강정보를

83 민경식/홍승필, IoT환경의 주요국 개인정보보호 정책 비교분석, 2015 정보통신설비 학술대회 논문집, 2015. 8, 212면.

84 The term “personal data” shall not include data otherwise described by paragraph (1) that a covered entity (either

directly or through an agent)—(i) alters such that there is a reasonable basis for expecting that the data could not

be linked as a practical matter to a specific individual or device;

84

데이터형식으로 전송하게 되는 의료정보관리기관 또는 협력관계에 있는 사업조직이 비식별화 기준

을 만족하기 위해서 준수해야 하는 구체적인 이행절차들에 대해 규정하고 있다. 특히 HIPAA 프라이

버시 규칙은 건강정보가 비식별화된 것으로 인정될 수 있는 두 가지의 접근법에 대해 규정하고 있는

데 그 하나는 절차적 방식에 의한 접근법으로서 관련 전문가의 개별적인 판단에 의한 방식이고, 다른

하나는 내용적인 방식에 의한 접근법으로서 특정한 개인 식별자들 또는 준식별자들이 데이터에서

제거된 비식별화가 된 것으로 간주하는 방식이다.85

4) 평가

미국의 소비자보호 프라이버시 권리장전에서는 비식별화된 정보는 개인정보가 아니라고 선언하고

있다는 점에서 EU, 일본 그리고 우리나라와는 다르게 개인정보의 활용에 치중하는 태도를 취하고 있

음을 살펴보았다. HIPAA 프라이버시 규칙의 비식별화 방식 역시 우리나라 개인정보 비식별 조치 가

이드라인과는 확연히 차별화되어 있다. 우리나라 개인정보 비식별 조치 가이드라인과의 차이는 개

인정보의 비식별화 방식을 양자택일적으로 규율하고 있다는 점이다. 후술하는 바와 같이 우리나라

개인정보 비식별 조치 가이드라인은 내용적인 방식에 따른 식별자 제거 방식을 거친 후에 다시 절차

적 방식에 의해 관련 전문가들에 의한 판단을 추가적으로 거치도록 하여, 내용적 방식과 절차적 방식

을 모두 요구하고 있다. 건강정보는 개인정보 중에서도 특히 민감한 개인정보임에도 불구하고 비식

별 조치를 택일적으로 취할 수 있다는 점은 미국이 개인정보의 활용과 보호의 갈등상황에서 보호보

다는 활용에 더 중점을 두는 방향으로 정책을 추진하고 있음 잘 나타내는 것이라고 할 수 있다.

다. 일본

1) 개인정보의 개념

일본은 2015년 개정된 개인정보 보호법86에서 개인정보의 개념을 두 가지 유형으로 크게 구분하였

다. 우선 일반적인 개인정보 개념(일본 개인정보 보호법 제2조 제1항 제1호)은 ‘생존하는 개인에 관

한 정보로서 당해 정보에 포함되어있는 성명, 생년월일 기타 기술 등에 의해 특정 개인을 식별할 수

있는 것(다른 정보와 쉽게 조합(照合)할 수 있으며, 그로 인하여 특정 개인을 식별할 수 있는 것을 포

함한다)’이라 개념정의 하고 있다. 여기에서 말하는 조합(照合;しょうごう)은 일본식 한자로서 “대

조하여 확인함”87이라는 의미이다. 즉 다른 정보와 쉽게 대조하여 확인함으로써 특정개인을 식별할

수 있다면 이 역시 개인정보에 포함된다는 것이다.

이러한 개인정보의 개념이 등장하기 까지는 상당히 혼란스러운 논의가 있었다. 개인데이터에 관한

85 개인정보의 비식별화 처리가 개인정보보호에 미치는 영향에 관한 연구, 개인정보보호위원회 연구보고서, 2015. 10, 56면.

86 이하의 일본 개인정보 보호법은 2015년 개정된 법률을 말한다.

87 네이버 일본어사전.

85

검토회의 기술검토 그룹은 “어디의 누구”라고 까지 식별하지는 못하더라도 특정 단말과 대응하여

“어떤 인물”의 정보인지를 식별할 수 있는 정보를 “식별 비특정 개인정보”로 분류하고 그 보호의 필

요성을 제기한 바 있으며, 2013년 6월 총무성의 연구회가 정리한 보고서에서도 “실질적인 개인식별

성”이라고 하여 보호의 필요성이 밝혀졌지만 검토회에서는 사무국이 제기한 “준개인정보”88라는 새

로운 개념이 논의를 복잡하게 한다고 판단하여 초안에서는 삭제한 바 있다.89

또 다른 하나의 개인정보의 개념은 일본 개인정보 보호법 제2조 제1항 제2호에 해당하는 개인정보

로서 ‘개인식별부호’를 의미한다. 개인식별부호는 ① 특정 개인의 신체 일부 특징을 전자적으로 제공

하기 위해 변환한 글자, 숫자, 기호, 기타 부호로서 바이오인식정보나 여권번호, 주민등록번호 등이

이에 해당되며, ② 서비스 이용/제품구입과 관련하여 개인에게 할당되거나 개인에게 발급되는 카드/

기타 서류에 기재되거나 전자적 방식에 의해 기록되는 글자, 숫자, 기호, 기타 부호가 그 이용자마다

다르도록 할당/기재/기록됨으로써 특정 이용자를 식별할 수 있는 것으로 회원번호 등이 여기에 해당

된다. 휴대폰 번호와 기기에 할당된 단말 ID등 정보가 개인정보에 해당되는가의 의문이 제기되고 있

지만, 개정 법률에서는 세부사항을 정령으로 정하도록 되어 있기 때문에 구체적인 확정은 향후 정령

을 통해 이루어지게 된다.90

2) 익명가공정보

2015년 일본 개인정보 보호법의 가장 큰 의의는 빅데이터 분석 등 개인정보를 활용하여 산업진흥에

도움이 되게 하는 동시에 개인정보도 보호할 목적으로 익명가공정보 조항을 신설한 것이다. 일본 개

인정보 보호법 제2조 제9항에서 ‘익명가공정보’를 “특정개인을 식별할 수 없도록 개인정보를 가공해

얻을 수 있는 개인에 관한 정보로서 당해 개인정보를 복원할 수 없도록 한 것”으로 정의하고 있다. 일

본 개인정보 보호법은 앞서 살펴본 바와 같이 개인정보를 두 가지 유형으로 구분함에 따라, 익명가공

정보도 각 개인정보 유형에 따라 달리 규율하고 있다.

우선 일본 개인정보 보호법 제2조 제1항 제1호에 해당하는 일반적인 개인정보의 경우에는 “해당 개

인정보에 포함된 기술(記述) 등의 일부를 삭제하는 것(해당 일부 기술(記述) 등을 복원할 수 있는 규

칙성을 가지지 않은 방법으로 다른 기술(記述) 등으로 대체하는 것을 포함)”으로 익명가공정보로 인

정되지만, 제2조 제1항 제2호에 해당하는 개인식별부호가 담긴 개인정보의 경우에는 “해당 개인정보

에 포함되는 개인 식별 부호의 전부를 삭제하는 것(해당 개인 식별 부호를 복원할 수 있는 규칙성을 가

88 “준개인정보”란 ①개인 또는 개인의 정보통신단말 등에 부여되어 계속적으로 공용되는 정보(여권번호, 면허증번호, IP주소,

휴대전화ID 등), ②신체적 특성에 관한 정보로서 보편성을 갖는 것(얼굴인식 데이터, 유전자정보, 음성이나 지문 등), ③특징적인

행동의 이력에 관한 정보(이동이력[위치]정보, 구매이력정보, Web열람이력정보 등)이다; 서희석, 빅데이터 활용을 위한 일본

개인정보 보호법의 개정논의와 자율규제, KISO Journal Vol.16, 2014, 28면.

89 한은영, 일본 개인정보 보호법 개정의 배경 및 개정안의 주요 내용, 정보통신방송정책 제26권 제13호(통권581호), 2014. 7, 22면.

90 한은영, 일본 개인정보 보호법의 개정 내용 및 평가, 정보통신방송정책 제27권 제17호(통권608호), 2015. 9, 43면.

86

지지 않은 방법으로 다른 기술(記述) 등으로 대체하는 것을 포함)”을 익명가공정보로 인정하고 있다.

일본의 개인정보 보호법상 일반개인정보의 경우에는 개인정보에 포함된 기술을 ‘일부’ 삭제하거나

규칙성을 갖지 아니하는 방법으로 대체하여 당해 개인정보를 복원할 수 없도록 하는 것으로 충분하

다. 기술적으로는 데이터 삭제가 아닌 데이터 마스킹의 기법을 채택하더라도 복원할 수만 없다면 익

명가공정보로 인정될 수 있다. 예를 들어 “홍길동, 27세, 서울 신촌 거주, 연세대학교 법학전문대학

원 1학년 재학”이라는 개인정보를 “홍**, 27세, 서울 ** 거주, **대학교 법학전문대학원 1학년 재학”

으로 일부 데이터만을 삭제하더라도 개인정보의 복원은 불가능하기 때문이다. 그러나 개인식별부호

가 담긴 개인정보의 경우에는 개인식별부호 ‘전부’를 삭제하여야만 익명가공정보로 인정될 수 있다.

개인식별번호는 특정인을 대조하기에 매우 용이하고 정확한 개인정보이므로 이를 완전히 전부 삭제

하는 경우에만 익명가공정보가 된다. 예를 들어 “홍길동, 27세, 주민번호 900101-1234567, 연세

대학교 법학전문대학원 1학년 재학”이라는 개인정보라면 “홍**, 27세, **대학교 법학전문대학원 1

학년 재학”으로 가공되어야만 익명가공정보로 될 수 있다.

2015년 개정된 일본 개인정보 보호법에도 익명가공정보는 개인정보에 해당하지 않는다고 명시적

으로 규정하고 있는 것은 아니다.91 그러나 익명가공정보로 인정이 되면 복원 불가능하도록 안전조

치를 함을 전제로 정보주체의 동의 없이도 제3자에게 데이터를 제공할 수 있게 된다.92 즉 익명가공

정보의 활용을 위해서는 두 가지 조치가 모두 요구된다. 일본 개인정보 보호법 제2조 제9항에서 익

명가공을 위한 기술적 방법을 준수하는 기술적인 조치가 행하여져야 하며, 나아가 익명가공된 개인

정보를 다시 복원하는 것이 불가능하도록 보장하는 관리적 조치도 요구된다. 설령 익명가공이 되었

다고 하더라도 기술적으로 100% 복원할 수 없게 하는 것은 어렵다는 일본 국회심의의 지적93처럼

재식별의 위험을 최대한 방지하기 위한 것이다.

3) 개인정보취급사업자의 익명가공정보 취급

일본 개인정보 보호법 제2조 제5항은 개인정보취급사업자를 규정하고 있으며, 이는 개인정보 데이

터베이스를 영업에 이용하는 자를 말한다. 이 개인정보취급사업자가 익명가공정보를 작성할 때는

다음과 같은 사항을 준수하여야 할 의무를 부담한다. 우선 개인정보취급사업자가 익명가공정보(데

이터베이스 구성에 한함, 이하 같음)를 작성할 때는 특정 개인을 식별하는 것 및 그 작성에 이용되는

개인정보를 복원할 수 없도록 가공해야 한다. 다만 복원할 수 없는 가공의 기준은 개인정보보호위원

회가 규칙으로 정하며, 사업자는 이 규칙을 따라야 한다(일본 개인정보 보호법 제36조 제1항). 그리

고 개인정보취급사업자가 익명가공정보를 작성할 때는 정보의 누설을 방지하기 위하여 개인정보보

91 �日下部�眞治,�個人情報保護法の初めての實質的改正,�Dispute Resolution Group Newsletter, 2016. 4, 3

(https://www.amt-law.com/pdf/bulletins3_pdf/160428.pdf)

92 개인정보 비식별 조치 가이드라인, 국무조정실 외, 2016, 28면.

93 한은영, 일본 개인정보 보호법의 개정 내용 및 평가, 정보통신방송정책 제27권 제17호(통권608호), 2015. 9, 50면.

87

호위원회가 정하는 규칙에 따라 정보의 안전관리를 위한 조치를 취하여야 한다. 누설될 수 있는 정보

는 예컨대 익명가공정보 작성 과정에서 삭제된 기술(記述), 개인식별부호, 가공방법 등이 여기에 해

당한다(일본 개인정보 보호법 제36조 제2항). 개인정보취급사업자가 익명가공정보를 작성할 때는

개인정보보호위원회 규칙으로 정하는 바에 따라 해당 익명가공정보에 포함된 개인에 관한 정보 항

목을 공개해야 한다(일본 개인정보 보호법 제36조 제3항). 개인정보취급사업자가 익명가공정보를

제3자에게 제공할 때는 정보주체의 동의를 받을 필요는 없지만, 개인정보보호위원회 규칙이 정하는

바에 따라 미리 제3자에게 제공되는 익명가공정보에 포함된 개인에 관한 정보 항목 및 그 제공방법

에 대하여 공표하여야 하고, 동시에 해당 제3자에게 제공하는 정보가 익명가공정보라는 사실을 명시

해야 한다(일본 개인정보 보호법 제36조 제4항). 개인정보취급사업자가 익명가공정보를 작성하고

스스로 해당 익명가공정보를 취급하는 경우 해당 익명가공정보 작성에 사용된 개인정보에 관한 본

인을 식별하기 위하여 해당 익명가공정보를 다른 정보와 조합(照合)해서는 아니 된다(일본 개인정

보 보호법 제36조 제5항). 개인정보취급사업자가 익명가공정보를 작성할 때는 해당 익명가공정보

의 안전한 관리에 필요하고 적절한 조치 및 해당 익명가공정보의 작성 기타 취급에 관한 불평의 처리

등 해당 익명가공정보를 적정히 취급하기 위하여 필요한 조치를 스스로 취하고 해당 조치를 공개하

도록 노력하여야 한다(일본 개인정보 보호법 제36조 제6항).

4) 익명가공정보취급사업자

일본 개인정보 보호법은 독특하게 익명으로 가공된 정보를 활용하여 사업을 하는 자를 “익명가공정

보취급사업자”라는 개념을 도입하여 규율하고 있다. 일본 개인정보 보호법 제2조 제10항의 ‘익명가

공정보취급사업자’란 익명가공정보를 포함한 정보의 집합물이나 특정의 익명가공정보를 전자계산

기를 이용하여 검색할 수 있도록 체계적으로 구성한 것, 그 외 특정 익명가공정보를 쉽게 검색할 수

있도록 체계적으로 구성된 것으로서, 정령(政令)으로 정하는 것을 사업에 이용하는 자를 말한다. 익

명가공정보취급사업자는 익명가공정보(개인정보를 가공하여 작성한 것은 제외)를 제3자에게 제공

할 때는 개인정보보호위원회 규칙에서 정하는 바에 따라 미리 제3자에게 제공하는 익명가공정보에

포함된 개인에 관한 정보 항목 및 그 제공방법에 대하여 공표하는 동시에 해당 제3자에게 제공하는

정보가 익명가공정보라는 사실을 명시해야 한다(일본 개인정보 보호법 제37조). 익명가공정보취급

사업자는 익명가공정보를 취급함에 있어 해당 익명가공정보의 작성에 이용된 개인정보에 관한 본인

을 (재)식별하기 위하여 해당 개인정보에서 삭제된 기술(記述) 또는 개인식별부호, 가공방법에 관한

정보를 취득하거나 해당 익명가공정보를 다른 정보와 조합(照合)해서는 아니 된다(일본 개인정보

보호법 제38조). 익명가공정보취급사업자는 익명가공정보의 안전한 관리에 필요하고 적절한 조치

및 해당 익명가공정보의 취급에 관한 불평의 처리 등 익명가공정보를 적정히 취급하기 위하여 필요

한 조치를 스스로 취하고 해당 조치를 공개하도록 노력하여야 한다(일본 개인정보 보호법 제39조).

88

5) 평가

2015년 개정 일본 개인정보 보호법에 대해 개인정보 활용을 도모하는 법제도가 마련됨으로써 구매

내역 등을 포함한 빅데이터의 경제적 활용이 용이해지고 이를 통한 기업의 비즈니스가 확대될 것으

로 기대되며, 예를 들어 신용카드회사 등은 구매 데이터를 익명화하여 판매하는 사업을 확대할 수 있

고, 이동통신사업자는 각 기지국에 있는 사람의 연령, 성별, 위치정보 등의 데이터를 익명처리하여

제공할 수 있게 되며, 전력사용량과 교통정보 등도 비즈니스와의 연계가 가능하게 될 것이다.94 나아

가 IT분야는 날마다 진보가 현저하는 점에서 일본의 2015년 개인정보 보호법 개정의 의미는 빅데이

터를 활용한 일본발 혁신(innovation)이 기대된다고 까지 평가하고 있다.95

2015년 개정 일본 개인정보 보호법의 비교법적 시사점이라면 개인정보 개념의 모호함을 해결하고

자 노력하였다는 점을 우선 들 수 있다. 그러나 “다른 정보와 쉽게 조합(照合)할 수 있으며, 그로 인하

여 특정 개인을 식별할 수 있는 것을 포함한다”라고 규정하여, 우리 개인정보 보호법과 마찬가지로

“쉽게 조합”이라는 것이 무엇인가가 여전히 해소되지 않고 있는 한계는 여전히 나타난다. 일본 개인

정보 보호법이 우리 법제에 제공하는 가장 중요한 시사점은 ‘익명가공정보’를 개념정의하고 활용에

대한 법률상의 근거를 마련하였다는 점이다. 일본 개인정보 보호법의 익명가공정보는 우리 “개인정

보 비식별 조치 가이드라인”의 비식별 조치와 유사한 것이고 활용 가능성 역시 거의 동일하지만, 아

직 우리나라는 법률 차원이 아닌 가이드라인의 수준에 머무르고 있다는 점에 비해서는 일본의 태도

가 한결 전향적이라고 평가할 수 있다.

5. IoT의 프라이버시 관련 현행 규범과 문제점

IoT는 인터넷을 통해 사물과 사물, 사물과 사람 그리고 사람과 사람 간의 모든 통신을 말한다. 그러므로

IoT에서의 개인정보보호를 위해서 개인정보 보호법이 적용되는 것은 물론이고, 인터넷을 이용한다는

점에서 정보통신망에서의 개인정보보호에 대해 특별히 규율하는 정보통신망법도 중요하다. 그리고 사

물간의 통신이라는 특성을 고려하면, 통신주체가 비인격적인 사물인 경우를 반드시 상정하여야 한다.

민법상 물건은 크게 동산과 부동산으로 나누게 되며, 동산은 문언 그대로 움직일 수 있는 물건으로 이동

성을 갖게 된다.96 IoT에 참여하는 사물은 건물이나 도로와 같은 토지 및 그 정착물인 부동산도 있을 수

있으나, 자동차와 같이 본질적으로 이동성이 강한 물건과 스마트 냉장고와 같이 이동성이 약한 물건도

있을 수 있다. 이동성 있는 물건이 IoT에 참여하게 되면 사물의 위치정보가 IoT에서 주고받는 통신에 포

94 한은영, 일본 개인정보 보호법의 개정 내용 및 평가, 정보통신방송정책 제27권 제17호(통권608호), 2015. 9, 50면.

95 차상육, 빅데이터의 활용에 따른 개인정보 보호법제의 충돌과 과제, 한양법학 제27권 제1집(통권 제53집), 2016. 2, 321면.

96 우리 민법은 물건을 동산과 부동산으로 구별하면서, 동산에 대해서는 개념정의를 하지 아니하고 부동산만을 개념정의 하고 있어서

부동산이 아닌 물건은 모두 동산에 해당되게 된다. 민법상 부동산은 ‘토지 및 그 정착물’이므로 토지 그리고 그 정착물이 아닌 모든

물건은 동산이다.

89

함될 가능성이 크게 된다. 이는 곧 프라이버시 보호의 관점에서는 개인정보 보호법이나 정보통신망법

뿐만 아니라 위치정보보호법도 중요한 고려 대상이 된다는 의미를 갖는다.

가. 개인정보 보호법

1) 의의

2011년 제정된 개인정보 보호법은 개인정보보호에 관해 포괄적인 적용이 가능한 일반법적인 성격

을 갖는 우리나라 최초의 법률이라는 점에서 중요한 의의를 갖는다. 개인정보 보호법이 제정되기 이

전에도 정보통신망에서의 민간영역의 개인정보보호에 관한 정보통신망법과 공공영역에서의 공공

기관의 개인정보보호에 관한 법률 그리고 특별한 영역인 신용정보에 관한 신용정보의 이용 및 보호

에 관한 법률 등이 개별적으로 산재해 있었다. 개인정보보호에 대한 사회적 인식이 변함에 따라 공공

과 민간 그리고 온라인과 오프라인의 모든 개인정보를 포괄적으로 규율하는 입법이 필요하다는 요

구에 따라 개인정보 보호법을 제정하기에 이르렀고, 법 명칭에서 추론할 수 있는 것처럼 개인정보의

활용보다는 정보주체의 사전 동의를 기반으로 하여 수집하고 활용할 수 있도록 하여 개인정보의 보

호에 중점을 둔 법률이라고 할 수 있다.

IoT환경에서도 개인정보 보호법은 여전히 가장 중요한 법률로서 개인정보보호를 위하여 적용된다.

그러나 개인정보 보호법은 기존의 IT환경을 염두에 두고 제정된 것이므로 빅데이터, 클라우드컴퓨팅

이나 IoT 같은 새로운 환경에서도 실효성이 있는가의 의문이 제기되고 있다. 아래에서는 IoT환경을

고려한 적용상의 문제점이나 한계를 살펴본다.

2) 적용의 한계

① 개인정보 개념정의

개인정보의 개념정의와 관련하여 가장 중요한 그리고 가장 난해한 해석상의 문제는 “다른 정보와 쉽

게 결합하여”라는 문언을 어떻게 이해할 것인가이다. 이에 대해 정부의 유권해석인 개인정보 비식별

조치 가이드라인에 따르면, ‘쉽게 결합하여’의 의미는 결합 대상이 될 정보의 입수가능성이 있어야 하

고 ‘결합가능성’이 높아야 함을 의미한다고 한다. ‘입수 가능성’의 의미는 두 종 이상의 정보를 결합하

기 위해서는 결합에 필요한 정보에 합법적으로 접근 입수할 수 있어야 하며, 이는 해킹 등 불법적인

방법으로 취득한 정보까지 포함하는 것은 아니라고 한다. 그리고 ‘결합 가능성’의 의미는 합법적인 방

법으로 정 보를 입수하여도 현재의 기술 수준에 비추어 결합이 사실상 불가능하거나, 결합하는데 비

합리적인 수준의 비용이나 노력이 수반된다면 이는 결합이 용이하다고 볼 수 없다고 한다. 따라서 공

유·공개될 가능성이 희박한 정보는 합법적 입수 가능성이 없다고 보아야 하며, 일반적으로 사업자

가 구매하기 어려울 정도로 고가의 컴퓨터가 필요한 경우라면 쉽게 결합하기 어렵다고 예를 들고 있

90

다.97

이러한 식별가능성의 판단기준이 불분명한 문제는 우리나라만의 문제는 아니다. EU의 경우에도 개

인을 식별가능한지 여부를 결정하기 위해서는, 개인을 식별하기 위해 관리자 또는 임의의 다른 사람

에 의해 합리적으로 활용될 가능성이 있는 모든 수단을 고려하여야 한다고 하면서 해당정보의 관리

자 또는 임의의 다른 사람에 의해 합리적으로 활용될 가능성이 있는 모든 수단을 고려하였을 때 그러

한 식별가능성이 존재하지 않거나 무시할 수 있는 수준이라면 개인을 식별가능하다고 보기 어렵고,

따라서 그 정보도 개인정보에 해당하지 않는다라고 밝히고 있다.98

특히 현행 규정에 의하면 기업이 자유롭게 활용할 수 있는 개인정보와 정보주체의 동의를 받아야만

활용할 수 있는 개인정보의 구별이 불분명하기 때문에 빅데이터, 클라우드 등 신산업의 발전가능성

을 저해하는 것이 문제로 지적된다. 빅데이터나 클라우드 사업을 시행하는 기업은 불가피하게 개인

과 관련된 정보를 보유하게 되는데 이 과정에서 개인정보 보호법 위반이 발생할 수 있기 때문이다.

빅데이터의 성공여부는 개인정보의 개념정의의 ‘해당정보만으로는 특정 개인을 알아 볼 수 없더라

도 다른 정보와 쉽게 결합하여 알아볼 수 있는’ 정보를 얼마나 많이 수집, 분석할 수 있느냐에 달려있

다는 역설적인 설명까지 나오고 있다.99 이러한 견해는 자연스럽게 국민과 기업의 예측가능성과 법

적 안정성을 보장하고, 빅데이터 산업의 육성을 위해서라도 법개정을 통해 개인정보의 개념정의의

괄호부분을 삭제할 필요가 있다는 주장으로 이어진다.100 그러나 이와 같이 개인정보 개념정의의 괄

호부분을 삭제하면 개인식별가능성의 범위를 과도하게 축소하는 결과가 되어 개인정보처리자의 입

장에서는 환영할 일이지만, 정보주체의 권리가 과도하게 침해받을 수 있기 때문에 신중하게 접근하

여야 한다는 견해도 제기되고 있다.101

② 개인정보처리자 개념정의

개인정보 보호법은 법적 금지사항을 규정하는 주어가 제25조 영상정보처리기기에 관한 규정을 제

외하고 모두 ‘누구든지’가 아니라, 정의규정에 의해 특정된 제한된 인적 범위로 한정된 ‘개인정보처리

자’라고 되어 있다. 개인정보 보호법이 법적 금지규정의 수범자를 개인정보처리자라고 제한하는 이

유를 개인정보보호에 대한 인식부족과 개인정보의 불법취급이 관행화 되어 있는 상황에서 자칫 개

인정보 보호법을 무리하게 시행하면 법의 실효성이 담보되지 않아 법이 형해화(形骸化)될 수 있고,

또한 개인정보라는 개념 자체가 지나치게 넓고 애매하게 정의되어 있는 상황에서 이러한 개인정보

97 개인정보 비식별 조치 가이드라인, 국무조정실 외, 2016, 55면.

98 신혜원/지성우, 사물인터넷(IoT) 환경에서의 개인정보보호에 관한 규범적 고찰, 법과 정책 제22집 제2호, 제주대학교

법과정책연구소, 2016. 8, 438-439면.

99 최경진, 빅데이터와 개인정보, 성균관법학 제25권 제2호, 2013, 212면.

100 최경진, 빅데이터와 개인정보, 성균관법학 제25권 제2호, 2013, 213면.

101 문재완, 개인정보의 개념에 관한 연구, 공법연구 제42집 제3호, 2014. 2, 59면.

91

에 대한 법적 금지 내지는 의무사항을 모든 사람에게 무리라는 판단을 하였을 것으로 보인다고 추측

하고 있다.102 이러한 태도는 EU일반정보보호규칙에서도 찾아볼 수 있다. EU일반정보보호규칙 제4

조 제7호는 ‘Controller’를 규정하여 단독으로 또는 타인과 공동으로 개인정보의 처리의 목적과 수단

을 결정하는 자연인이나 법인, 공공기관, 대리인 또는 기타 주체라고 정의하고 있다.

개인정보 보호법상의 개인정보처리자는 “업무를 목적으로 개인정보파일을 운용하기 위하여 스스로

또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등”이라고 개념정의되

어 있다. 따라서 자연인이나 법인과 같은 단체에 국한된다. 그렇다면 IoT환경에서 IoT기기가 주고받

는 정보에 개인정보가 포함되어 자동화된 개인정보처리를 하는 경우 누가 개인정보처리자가 되는가

의 문제가 발생한다. 당연히 IoT기기는 물건이므로 자연인이 아니며 법인과 같은 단체라고 할 수 없

으므로, IoT기기의 소유자나 이용자가 개인정보처리자가 되어야 하는 것인가라는 문제가 발생한다.

따라서 현행 개인정보 보호법이 개인정보처리자를 수범자로 한정하여 규율하는 태도는 IoT환경과는

잘 조화되지 않는다.

③ 동의기반 개인정보 활용체계

동의기반 개인정보 활용체계에 대해 사전 동의권의 형식화 경향을 지적하면서, 사전동의제도에서

반드시 동의를 거쳐야 하는 개인정보는 식별이 가능한 정보에 한정하여 규제하고, 다른 정보와의 결

합을 통해 식별가능성은 있으나 그 범위가 포괄적인 경우 사후적인 통제를 통해 해결하는 것이 형식

적 사전 동의를 통한 위험성을 낮추고 개인정보자기결정권을 실질적으로 보장받을 것이라는 주장도

제기되고 있다.103 이러한 견해는 개인정보의 개념정의의 모호한 문제를 정보주체의 동의와 연계하

여, 다른 정보와 결합없이 식별이 용이한 개인정보는 정보주체의 동의를 기반으로 활용을 정당화하

지만, 용이한 결합가능성이 있는 개인정보는 사후적인 통제로도 개인정보자기결정권이 충분히 보장

된다는 판단이지만 결합 여부를 판단하는 것도 결합의 용이성만큼이나 어렵다는 한계가 존재한다.

IoT환경에서는 앞서 살펴본 바와 같이 사물에 의해 주도되는 비인격적 정보수집과 통신, IoT기기의

판단에 의한 자동화된 정보수집과 통신, 네트워크 접속 없이는 무의미해지는 필수호환적인 통신, 그

리고 상대를 특정할 수 없는 개방적 통신이 이루어지게 된다. 그러므로 정보주체의 사전 동의를 얻어

서 정보를 수집하는 것이 현실적으로 어렵고, 또 동의를 얻어 제3자에게 제공하는 것도 기대하기 어

렵다. 왜냐하면 어떤 조건에서 누구로부터 또는 누구에 대한 정보를 수집하거나 생성해서 누구에게

전달하게 될 지를 예상하는 것은 불가능하거나 또는 강제할 수 없는 상황이 빈번하기 때문이다. 따라

서 IoT환경에서 동의기반 개인정보 활용체계를 그대로 유지할 수 있겠는가가 또 만약 그것이 불가능

하다면 어떠한 대안체계가 있겠는가가 개인정보보호의 핵심적인 문제가 된다.

102 김민호, 개인정보처리자에 관한 연구, 성균관법학 제26권 제4호, 2014. 12, 249-250면.

103 신혜원/지성우, 사물인터넷(IoT) 환경에서의 개인정보보호에 관한 규범적 고찰, 법과 정책 제22집 제2호, 제주대학교

법과정책연구소, 2016. 8, 448면.

92

④ 개인정보 국외 이전

IoT환경을 완벽히 구현하는 것은 기술적으로나 경제적으로나 상당히 어려운 일이다. 특히 IoT플랫폼

을 구현하는 것은 특히 난이도가 높은 작업이어서 이를 상용화하는 것은 극소수의 글로벌 서비스제

공자만이 가능할 듯하다. IoT플랫폼을 제공하는 글로벌 사업자는 IoT환경의 핵심이 되는 서버를 전

세계 곳곳에 두고 클라우드컴퓨팅을 활용하여 서비스를 제공하게 되는데, 이 경우 IoT환경의 모든 정

보는 해외에 있는 클라우드 서버로 이전하는 것을 피할 수 없다. 결국 IoT환경에서는 정보의 국외이

전이 보편적인 현상으로 자리 잡게 된다. 개인정보 보호법은 제17조 제3항에서 개인정보처리자가

개인정보를 국외의 제3자에게 제공할 때에는 개인정보를 제공받는 자, 개인정보를 제공받는 자의 개

인정보 이용 목적, 제공하는 개인정보의 항목, 개인정보를 제공받는 자의 개인정보 보유 및 이용 기

간, 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내

용을 정보주체에게 알리고 동의를 받도록 하고 있다. 개인정보 보호법 뿐만 아니라 클라우드컴퓨팅

법 제26조 제1항에서 이용자는 자신의 정보가 저장되는 국가의 명칭을 알려줄 것을 요구할 수 있는

권리를 인정하고 있는데 이러한 조항들이 IoT환경에도 적절한가도 문제가 된다.

⑤ 이동성있는 영상정보처리기기

스마트카와 같은 이동형IoT기기에서 촬영된 영상정보가 인터넷으로 전달되는 경우 개인정보 보호법

제25조의 영상정보처리기기에 관한 규정은 적용이 불가능하다는 문제가 발생한다. 왜냐하면 개인

정보 보호법 제2조 제7호의 개념정의에 따르면 “영상정보처리기기란 일정한 공간에 지속적으로 설

치되어 사람 또는 사물의 영상 등을 촬영하거나 이를 유·무선망을 통하여 전송하는 장치로서 대통령

령으로 정하는 장치”이므로, 이동성 있는 IoT기기는 일정한 공간에 지속적으로 설치되어 있는 것이

아니므로 영상정보처리기기에 해당될 수 없기 때문이다. 그러므로 개인정보 보호법의 영상정보처리

기기에 관한 규정으로는 IoT환경에서는 한계가 있을 수밖에 없다.

나. 정보통신망법

1) 의의

정보통신망법은 1999년 당시에 존재하던 “전산망보급확장과 이용촉진에 관한 법률”(이하 전산망

법)을 전면 개정한 것이다. 전산망법은 1986년 체신부가 전산망을 개발하여 전국에 설치하기 위해

제정된 것이지만, 1991년에는 1차 국가기간전산망사업이 완료하고 1992년부터 2단계 국가기간

전산망 사업을 시작하여 1997년 무렵에는 2단계 국가기간전산망사업이 완료되자 전산망법은 사실

상 그 법률의 목적을 다하게 되었다. 따라서 낮은 기술수준의 전산망을 넘어 고도화된 정보통신망을

구축하고 이를 통해 정보화사회의 구현을 앞당기기 위해 정보통신망법으로 전면 개정하기에 이르렀

다. 정보통신망법을 개정하면서 그 구체적인 내용을 행정기관의 전자문서의 규율, 스팸이나 해킹·바

93

이러스와 같은 정보화 부작용의 해결 외에도 그 무렵 1997년 제정된 독일 정보통신서비스데이터보

호법(Teledienstedatenschutzgesetz)에 규율되어 있던 개인정보와 관련된 규정을 참고하여 개인

정보보호에 관한 사항을 포함시키게 되었다.104 개인정보에 대한 사회적인 인식이 미흡했던 당시로

서는 획기적인 입법이라고 할 수 있으며, 오프라인의 개인정보에 대해서까지 그러한 강한 법적 보호

를 사회가 수용하기는 시기상조였으므로 정보통신망에서 컴퓨터에 의해 처리되는 개인정보에 국한

하여 규율을 하였다.105 그 이후 2011년 개인정보보호에 관한 공공과 민간, 온라인과 오프라인에 모

두 적용되는 개인정보 보호법이 제정될 때 까지는 민간영역의 일반적인 개인정보보호에 관해서는

정보통신망법이 그 중심적인 역할을 거의 유일하게 담당하였다. 2011년 개인정보 보호법이 제정되

었어도 정보통신망법은 여전히 존재하여 정보통신망을 통하여 정보통신서비스제공자가 개인정보

를 취급하는 경우에는 정보통신망법이 여전히 적용되고 있다.

이와 같이 정보통신망법과 개인정보 보호법이 모두 적용되면서 이중적 규제에 대한 비판이 지적되

어 양 법률 간의 관계에 대해 후술하는 바와 같이 논란이 발생하고 있다. 정보통신망에서의 개인정보

보호를 차별성을 가지고 특별히 규율하는 것은 우리나라만의 상황은 아니고, EU 역시 일반적인 개인

정보보호와 전기통신에서의 개인정보보호를 구별하여 규율하고 있음은 살펴본 바와 같다. 그러므로

정보통신망법과 개인정보 보호법이 병존하는 그 자체가 문제인 것은 아니다. 다만 EU의 경우에는 이

러한 구별이 의도적으로 이루어진 것이라고 볼 수 있으나, 우리나라의 경우에는 입법의 시기와 관련

한 연혁적인 이유가 더 크다는 점에서는 다르므로 양자의 관계에 대한 논란이 해소되지 않고 있다.

2) 적용의 한계

① 개인정보 보호법과의 관계

개인정보 보호법은 제6조에서 “개인정보 보호에 관하여는 다른 법률에 특별한 규정이 있는 경우를

제외하고는 이 법에서 정하는 바에 따른다”라고 규정하고 있으며, 정보통신망법 역시 제5조에서 “정

보통신망 이용촉진 및 정보보호등에 관하여는 다른 법률에서 특별히 규정된 경우 외에는 이 법으로

정하는 바에 따른다”라고 거의 동일하게 규정하고 있다. 양 법률이 서로 겸양의 태도로 다른 법률에

서 특별한 규정이 있는 경우에는 적용을 자제하겠다는 애매한 자세를 취함으로써, 법적용에 혼란이

발생하고 있다. 서로 다른 법률을 적용하라고 한다면 무한루프가 되어 결과적으로는 어느 법률도 적

용하지 못하는 순환논리에 빠지게 될 것이다. 예를 들어 개인정보 보호법에는 규정이 없으나 정보통

104 개인정보보호를 위한 정책방안 연구(정책연구보고서), 정보통신부, 1999, 43면.

105 당시 개정작업반에서는 오프라인에서 개인정보를 자유롭게 수집하는 것을 제한하다면, 기업의 영업활동이 위축되어 헌법상 영업의

자유를 침해할 우려가 있다는 견해도 있었다.

94

신망법에는 규정이 있는 경우106나 개인정보 보호법과 정보통신망법이 서로 다른 규정이 있다면107

정보통신망법을 적용하여야 할 것인지, 또 개인정보 보호법에는 규정이 있으나 정보통신망법에는

규정이 없다면 그 때에 어떻게 하여야 할 것인지 매우 혼란스럽다.

이러한 문제는 양 법률의 연혁에서 유래하는 것이다. 전술한 바와 같이 정보통신망법이 제정되어 10

여 년간 적용되어 오던 중에 개인정보에 대한 사회적 인식의 변화에 따라 개인정보 보호에 대한 일반

법을 제정하자는 주장이 오랜 기간 이어졌고, 드디어 2011년 개인정보 보호법을 제정함으로써 개인

정보보호에 관한 공공과 민간, 온라인과 오프라인을 모두 아우르는 법적 규율이 완성되기에 이르렀

다. 이로서 개인정보 보호법과 정보통신망법이 개인정보보호에 관해 어떠한 관계에 있는가에 대한

논란이 시작되었다. 개인정보처리에 관하여 개인정보 보호법과 다른 법률의 관계에 있어서 특별법

우선의 원칙에 따라 정보통신망법 등 특별법에 유사한 관련 규정이 있으면 무조건 개인정보 보호법

의 관련 규정이 배제되어 정보통신망법 등이 우선적으로 적용된다는 주장과 정보통신망법의 적용을

받는 정보통신서비스제공자에게도 일반법인 개인정보 보호법이 포괄적으로 적용되고 정보통신망

법 등 특별법의 규정과 저촉되는 경우에만 개인정보 보호법의 관련 규정의 적용이 배제된다는 견해

로 정리할 수 있다.108 그리고 정보통신망법은 개인정보 보호법에게는 다른 법률의 특별한 규정이 되

지만, 개인정보 보호법은 일반법이므로 정보통신망법에게는 다른 법률의 특별한 규정이 되지 못한

다는 견해도 있다.109

IoT환경은 사물과 사람이 모두 인터넷으로 연결되는 것을 전제로 하므로 IoT환경의 개인정보보호는

일반적인 개인정보 보호법 보다는 정보통신망에서의 개인정보에 특화되어 있는 정보통신망법이 더

중요할 것으로 생각된다. 따라서 개인정보 보호법을 중심으로 개인정보 처리에 관한 법체계가 통일

되어야 한다는 견해110는 IoT환경을 고려하면 최선의 방안이라고 하기에는 조심스럽다.

② 정보통신서비스제공자의 개념

정보통신망법은 개인정보보호와 관련된 제4항의 수범자로 ‘정보통신서비스제공자’로 한정지어 규

정하고 있다. 정보통신망법 제2조 제3호의 개념정의에 따르면 “정보통신서비스제공자란 전기통신

사업법」 제2조 제8호에 따른 전기통신사업자와 영리를 목적으로 전기통신사업자의 전기통신역무를

이용하여 정보를 제공하거나 정보의 제공을 매개하는 자”이다. 개인정보보호의 수범자를 정보통신

서비스제공자로 한정하는 정보통신망법이 IoT환경에서 적합한가는 문제이다. IoT의 네트워크가 과

106 정보통신망법 제63조 제2항의 개인정보 국외이전시 이용자의 동의를 받아야 한다는 규정이 대표적이다.

107 대표적으로 개인정보 보호법은 계약이행을 위해 “불가피하게 필요한 경우에” 정보주체의 동의 없이 개인정보를 수집할 수

있지만(개인정보 보호법 제25조 제2항), 정보통신망법은 계약이행을 위해 필요한 개인정보로서 “경제적·기술적인 사유로 통상적인

동의를 받는 것이 뚜렷하게 곤란한 경우”에 동의 없이 가능하다(정보통신망법 제22조 제2항 제2호).

108 이창범, 개인정보 보호법, 법문사, 2012, 70-72면.

109 박노형, 개인정보 보호법과 정보통신망법의 관계 분석, 안암법학 제41권, 2013, 144-145면.

110 박노형, 개인정보 보호법과 정보통신망법의 관계 분석, 안암법학 제41권, 2013, 15면.

95

연 전기통신사업법상의 전기통신사업자의 전기통신역무만에 국한되는가도 의문이지만, IoT기기의

센서가 자동화된 수집과 통신을 비인격적으로 수행하는 경우에 그 기기를 정보통신서비스제공자라

고 할 수도 없고 또 그 배후에 있는 단순한 이용자나 소유자는 영리를 목적으로 하지 않는 한 정보통

신서비스제공자라고 할 수도 없다. 그러므로 정보통신서비스제공자의 개념을 IoT환경에서도 그대로

유지할 수 있는가를 검토할 필요가 있다.

③ 국외 이전

정보통신망법 제63조는 정보통신서비스제공자는 이용자의 개인정보를 국외에 제공·처리위탁·보

관하려면 이용자의 동의를 받도록 하고 있고, 동의를 받으려면 이전되는 개인정보 항목, 이전되는 국

가, 이전일시 및 이전방법, 개인정보를 이전받는 자의 성명, 개인정보를 이전받는 자의 개인정보 이

용목적 및 보유·이용 기간을 미리 고지하도록 규정하고 있다. 이러한 규정이 IoT환경에서 적합한가

는 개인정보 보호법과 마찬가지로 문제가 된다.

다. 위치정보보호법

1) 의의

개인정보와 관련하여 특히 위치정보의 경우에는 이와 구분되는 특수한 성질을 가지고 있기에 정보

통신망법이 존재함에도 불구하고 2005년 위치정보보호법이 별도로 입법되었다. 여기에서는 위치

정보를 보호함과 동시에 그 위치정보를 이용한 산업 기반을 진흥하는 내용이 일부 포함되어 있다. 우

리나라 위치정보보호법은 전 세계에서 최초로 위치정보에 대해 독립적으로 규율하는 법률로 평가되

고 있다.111 IoT환경에서는 위치정보보호법이 더욱 중요하게 부각될 것으로 예상된다. 앞서 살펴본

바와 같이 IoT에서는 이동성 있는 기기들이 서로 네트워크로 연결되게 되면 기기의 위치정보를 서로

주고받는 것이 필수적으로 될 것이고, 기기가 특정한 사람과 강하게 연관되게 되면 결국 개인위치정

보의 전달 역시 IoT통신에서는 피할 수 없게 되기 때문이다.

2) 적용의 한계

① 단순 사물위치정보의 보호

위치정보보호법 제15조 제1항은 “누구든지 개인 또는 소유자의 동의를 얻지 아니하고 당해 개인 또

는 이동성이 있는 물건의 위치정보를 수집·이용 또는 제공하여서는 아니된다.” 라고 규정하고 있다.

그러므로 단순한 사물의 위치정보도 소유자의 동의 없이는 수집·이용 또는 제공할 수 없도록 금지하

고 있다. 특히 수범주체가 위치정보사업자나 위치기반서비스사업자에 국한되는 것이 아니라 “누구

111 융합시대에 적합한 LBS사업분류 및 규제체계 연구(방송통신정책연구 연구보고서), 방송통신위원회, 2011, 40면.

96

든지”로 제한이 없으므로 모든 사람에게 적용된다. 따라서 위치정보를 이용한 사업을 하는 사람뿐만

아니라 모든 사람이 수범주체가 되어 인적 적용범위가 매우 넓게 된다.

이에 대해 단순한 사물의 위치정보를 보호하기 위해 개인정보 보호법 외에 별도의 추가적인 규제를

할 필요가 있는가에 대한 의문을 제기하는 견해가 있다. 이 견해에 따르면 개인정보에 해당되지 않는

단순위치정보를 이용자의 동의 없이 수집 또는 이용하면 이용자에게 어떠한 손해가 발생되는가 라

고 의문을 제기하면서 단순위치정보가 다른 정보와 결합해서 개인의 위치정보가 노출 또는 오남용

될지도 모른다고 하는 위험성 내지 추상적 손해만 발생할 뿐이며, 나아가 그러한 위험성과 구체적 손

해는 전혀 별개의 문제라고 주장하면서 이용자의 동의 없이 수집해도 구체적 손해가 발생했다고 보

기 어려운 단순위치정보를 왜 굳이 위치정보보호법에서 보호대상으로 삼고 규제해야 하는 지 입법

론적으로 재검토해 볼 필요가 있다고 한다.112

단순 사물위치정보를 소유자의 동의 없이는 수집·이용 또는 제공할 수 없다면, IoT환경에서는 IoT기

기의 운용에 규범적 장애물로 작용할 치명적인 위험이 있다. 특히 기기를 통해서 자동으로 위치정보

가 수집·이용되는 경우에 그 소유자의 사전동의를 얻을 수 없는 경우도 있을 것으로 예상된다.113 IoT

환경을 고려하면 운행 중인 자율주행자동차 사이에 안전을 위해 주고받는 정보와 같이 사물의 소유

자의 동의를 기다릴 여유가 없는 경우까지 소유자의 동의를 요구한다면 IoT 자체가 무의미해지게 된

다. 자율주행자동차나 스마트 하이웨이가 실용화단계를 넘어 상품화단계에 이르는 현재 상황에서

운행 중인 자율주행 자동차 사이에 위치정보를 실시간으로 서로 교환하는 과정이 소유자의 개별적

사전 동의로 인해 지연된다면 자율주행 자체가 불가능해질 수밖에 없으며,114 스마트 하이웨이의 경

우에도 주행 중인 스마트카의 위치정보를 실시간으로 파악하기 위해서 소유자의 사전 동의가 개별

적으로 있어야 한다면 사실상 운용은 불가능하게 될 것이다. 특히 완전한 자율주행을 위해서는 운행

에 참여하고 있는 자율주행자동차들이 직접 교신하는 자동차 이외의 제3의 자동차에 관한 위치정보

를 서로 전달하여 교환해야 할 필요도 있다. 예를 들어 바로 앞서 주행하고 있는 자율주행자동차 뿐

만 아니라 그 보다 앞서 주행하고 있는 선행 자동차의 위치정보에 대해서도 바로 앞선 자동차로부터

제공받는 것이 교통상황에 따라서는 매우 중요하고 시급할 수 있다. 그러나 이 경우에도 선행 자동차

소유자의 사전 동의 없이 제공이 불가능하다면 큰 문제가 아닐 수 없다. 또한 애완견의 스마트 목줄

과 같이 사물에 소유자와 관련된 정보가 아예 포함되어 있지 아니하여 사물의 소유자를 특정하는 것

이 현실적으로 불가능한 경우에는 적법하게 동의를 받는 것이 불가능하게 된다. 그러므로 위치정보

112 정상조, “위치기반서비스 규제에 관한 연구”, 2015 NAVER privacy White Paper, 2016, 28-29면.

113 정상조, “위치기반서비스 규제에 관한 연구”, 2015 NAVER privacy White Paper, 2016, 32면.

114 만약 운전자가 자율주행자동차의 소유자가 아니라면, 예를 들어 렌터카와 같이, 그 때는 더 일이 복잡해진다. 왜냐하면

위치정보보호법은 제15조에서 명백히 “소유자의 동의”라고 규정하고 있기 때문에 운전자가 아닌 렌터카 소유회사가 동의를 해야

할 것이기 때문이다. 특히 렌터카는 임차인이 수시로 변경되므로 렌터카가 특정인과 직접 연결되는 것이 아니므로 렌트계약 정보를

가지고 있지 아니한 제3자에게는 개인위치정보가 아닌 단순 사물위치정보에 해당한다고 보아야 한다.

97

보호법상의 단순 사물위치정보에 관한 규율을 현행과 같이 두어서는 IoT환경으로 나아가는데 큰 장

애로 작용하게 될 것이다.

② 사물의 비소유 이용자의 보호

사물위치정보를 소유자의 통제권에 두는 것만으로 모든 문제가 해결되는 것은 아니다. 특히 IoT환경

에서 기기의 소유자와 기기를 통해 개인위치정보가 추론되는 사람은 항상 동일인인 것은 아니다. 왜

냐하면 기기와 기기의 이용자의 관계가 법교의학적으로 협소한 의미의 소유권에 의해서만 연결되

는 것은 아니기 때문이다. 예를 들어 스마트 차량 추적장치를 부착한 렌터카의 경우에 비록 렌터카는

렌터카 회사의 소유이지만, 사물위치정보를 통해 개인위치정보가 추론되는 사람은 자동차 렌트계약

을 체결하여 채권적인 지위를 갖는 렌터카 이용자이다. 이 경우에 소유권이 있는 렌터카 회사의 동의

만으로 렌터카의 위치정보를 수집하는 것은 허용되어서는 아니된다. EU 2014년 사물인터넷 발전

에 따른 개인정보보호의견서에서도 이러한 문제에 대해 이용자의 동의를 반드시 얻어야만 렌트카의

위치정보를 수집할 수 있다고 하며, 그 법적 근거로 EU 2002년 전자통신분야지침 제5조 제3항과

1995년 정보보호지침 제7조를 제시하고 있다.115 이와 같이 사물의 위치정보를 단지 사물의 소유자

의 동의를 얻기만 하면 수집할 수 있는 현행 위치정보보호법 규정은 보다 면밀히 재검토되어야 한다.

③ 국외이전

위치정보보호법에서는 정보통신망법과 달리 위치정보의 국외이전에 관한 어떠한 규정도 두고 있지

않다. 과거 애플의 아이폰이 이용자의 위치정보를 수집하여 이용자의 스마트폰에 저장하고 더불어

미국의 애플 본사의 서버로 이전한 사건에 대해서도, 아이폰을 통해서 이용자의 위치정보 또는 개인

위치정보를 수집하는데 이용자의 동의가 있었는지의 여부만을 문제삼았고 이용자의 정보가 미국서

버로 이전됨으로써 발생하는 추가적인 위험에 대해서는 아무런 문제가 되지 않았는데 이는 우리나

라 위치정보보호법상의 입법상 공백이 있었기 때문에 생긴 결과라고 보고 있다.116

라. 기타

1) 사물인터넷 정보보호 로드맵

① 의의

2014년 10월 미래창조과학부는 사물인터넷[IoT] 정보보호 로드맵을 제정하여 발표하였다. 사람,

사물, 공간, 데이터 등 모든 것이 연결되는 초연결사회가 도래함에 따라 우리 실생활에 모든 사물이

115 Opinion 8/2014 on the on Recent Developments on the Internet of Things, 2014. 9, p.14.

116 정상조, “위치기반서비스 규제에 관한 연구”, 2015 NAVER privacy White Paper, 2016, 33면.

98

직접 접목되기 때문에 기존 사이버공간의 위험이 현실세계로 전이되고 확대되며, IoT보안위협은 오

동작·정지 등 사람의 생명을 위협할 만큼 치명적이며 도입 후에는 사후 보안조치가 불가능하거나 고

비용이 수반되므로 누구나 안전하게 사물인터넷의 편리함을 누리기 위해서는 정보보호가 담보된 안

전한 IoT이용환경 조성이 필수라고 밝히고 있다.117

이 로드맵은 법규라고 할 수는 없지만, 우리나라 정부가 IoT환경을 전제로 하여 밝힌 최초의 정보보

호와 관련된 공식발표라는 점에서는 큰 의의가 있다고 할 수 있다.

② 내용

사물인터넷[IoT] 정보보호 로드맵에서는 “누구나 안전하게 사물인터넷의 편리함을 누리는 세계 최

고의 스마트 안심국가 실현”의 비전을 제시하면서, 추진전략으로 ‘보안이 내재된 IoT 기반 조성’, ‘글

로벌 IoT 보안선도 기술 개발’, ‘IoT 보안 산업경쟁력 강화’를 제시하고 있다. IoT환경의 개인정보보호

와 관련된 세부 추진과제로는 비정형 IoT 빅데이터를 실시간으로 분석하여 민감정보 노출 위험을 탐

지·제거하는 IoT프라이버시 보호 기술 개발을 들고 있다.118

③ 적용의 한계

사물인터넷[IoT] 정보보호 로드맵은 우리나라 정부가 기술적인 관점에서의 보안대책을 제시하는 것

이므로 정보보호기술에 집중하고 있어서 규범적인 관점에서의 언급은 거의 찾아볼 수 없다. 따라서

IoT의 프라이버시 보호에 대한 시사점은 오직 위험이 증대된다는 사실을 강조하는 것 이상이 되기 어

렵다.

2) 빅데이터 개인정보보호 가이드라인

① 의의

방송통신위원회는 2014년 12월 23일 빅데이터 개인정보보호 가이드라인을 제정하여, 빅데이터

환경에서 개인정보가 오·남용 될 위험을 방지하고 빅데이터 산업을 활성화하기 위한 방안을 제시하

였다. 이에 앞서 2013년 12월 발표되었던 가이드라인에서는 공개된 개인정보는 동의 없어도 이용

가능하다는 내용과 비식별화를 거친 후에는 동의 없는 이용이 가능하다는 내용을 담고 있어서 거센

비판을 받았다. 특히 공개된 개인정보에 대해서는 현행 개인정보 보호법상 별도의 규정이 없음에도

불구하고119 동의기반 활용원칙의 예외를 가이드라인의 형식으로 규정할 수는 없으며, 만약 자유로

117 사물인터넷[IoT] 정보보호 로드맵, 미래창조과학부, 2014, 1면.

118 사물인터넷[IoT] 정보보호 로드맵, 미래창조과학부, 2014, 29면.

119 당시 헌법재판소는 이 문제에 대해 2003헌마425 결정에서 명시적으로 공개된 개인정보도 개인정보자기결정권의 보호대상에

포함된다고 이미 밝힌 바 있다.

99

운 이용이 필요하다면 가이드라인이 아닌 입법에 의하여 해결하지 않으면 아니 된다는 지적120에 직

면하였다.

② 내용

가이드라인은 현행 법령의 테두리 안에서 개인정보보호를 위해 사업자가 지켜야 할 기술적·절차적

사항을 구체적으로 규정한 것이다. 빅데이터 처리과정에서 수집된 데이터에 개인정보가 포함된 경

우 이를 다른 정보로 대체하거나 다른 정보와 결합하여도 특정 개인을 식별하기 어렵도록 하는 비식

별화조치가 선행된다면 수집·활용이 가능하도록 하고, 사업자들의 규제 불확실성을 최소화하기 위

해 현행 법령 내에서 공개된 정보 등을 합법적으로 수집·활용할 수 있는 구체적인 기준을 제시하였

다. 그리고 데이터의 수집단계에서 개인정보를 비식별화하였다고 하더라도 조합·분석 단계에서 다

른 정보와 결합하여 재식별화 될 수 있는 가능성이 있는 경우 반드시 이를 즉시 파기하거나 추가적인

비식별화조치를 취하도록 명시하고 있다. 또 기존 정보통신망법과 마찬가지로 빅데이터 처리 사실·

목적·수집 출처 및 정보활용 거부권 행사 등에 대해 개인정보 취급방침을 통해 이용자에게 투명하게

공개하도록 하였으며, 특정 개인의 사상 등 민감정보 생성이나 이메일·문자 통신 내용의 이용 등은

금지된다. 정보통신서비스 제공자는 비식별화조치가 취해진 정보를 저장·관리하고 있는 정보처리

시스템에 대해 기술적·관리적 보호조치를 취하여야 한다.121

위와 같은 가이드라인의 가장 중요한 출발점은 해설서에서 명확히 밝히듯 “비식별화 처리된 개인정

보는 개인식별성이 사라지므로 더 이상 개인정보로 미취급”122한다는 것이고, 그럼에도 불구하고 가

이드라인에서 규정하는 이유는 “수집·이용 단계에서 개인정보를 비식별화하였다 하더라도 조합·분

석 단계에서 타 정보와 결합하여 재식별화될 수 있으므로, 비식별화된 정보도 가이드라인에서 규율

할 필요가 있다”고 밝히고 있다.123

그리고 가이드라인 제6조에서는 프로파일링에 대해 명확히 규정을 하고 있다. 정보통신서비스 제공

자는 비식별화조치하여 수집한 공개된 정보 및 이용내역정보를 조합·분석하여 새로운 정보를 생성

하는 프로파일링은 할 수 있으나, 새롭게 생성된 정보에 개인정보가 포함되면 즉시 파기하거나 비식

별화 조치를 취하도록 함으로써 이용자의 개인정보를 보호하고 있다. 이로써 이용자의 개인정보자

기결정권을 보장하고 있다. 나아가 이용자의 개인정보자기결정권 보장을 위해 개인정보가 생성될

수 있다는 사실을 개인정보 취급방침을 통하여 공개하도록 하였다.124

120 손영화, 빅데이터 시대의 개인정보 보호방안, 기업법연구 제28권 제3호(통권 제58호), 2014. 9, 383면.

121 차상육, 빅데이터의 활용에 따른 개인정보 보호법제의 충돌과 과제, 한양법학 제27권 제1집(통권 제53집), 2016. 2, 335면.

122 방송통신위원회, 빅데이터 개인정보보호 가이드라인 해설서, 2015, 7면.

123 방송통신위원회, 빅데이터 개인정보보호 가이드라인 해설서, 2015, 38면.

124 방송통신위원회, 빅데이터 개인정보보호 가이드라인 해설서, 2015, 18면.

100

③ 적용의 한계

가이드라인의 가장 중요한 문제로는 비식별화와 관련한 기존 법률과의 부조화현상을 지적하고 있

다. 가이드라인은 비식별 처리된 정보를 처리하는 도중 재(再)식별화되더라도 처리중단이 아닌 재(

再)비식별화를 하도록 하고 있는 점은 장래 재식별화가 가능하더라도 현재 비식별화된 것으로 인정

한다는 것으로써, 현행 개인정보 보호법의 규정에 정면으로 위반될 우려가 있다. 또한 비식별화만 한

다면 개인정보주체의 동의를 받지 않고도 개인정보가 포함된 공개된 정보와 이용내역정보를 수집,

저장, 조합, 분석할 수 있다고 하는 점 역시 현행 개인정보보법의 규정에 정면으로 위반될 우려가 있

다. 또한 비식별화처리된 공개된 개인정보와 이용내역정보의 내부적 이용과 동의 없는 제3자 제공허

용도 개인정보 보호법과 정보통신망법에 위반될 수 있는 규정이다. 가이드라인은 ‘정보통신서비스

제공자는 공개된 정보, 이용내역정보, 생성정보를 비식별화 처리를 하면 정보주체의 동의 없이도 얼

마든지 제3자에게 제공할 수 있다고 규정하는 점에서 이 규정은 모든 문제의 근원이 될 수 있다는 비

판을 받는다. 개인정보주체의 의사에 반하는 제3자에 대한 무차별적 판매가 가능하기 때문이다.125

그리고 개인정보자기결정권을 강화하려는 취지에서 이용자에게 알권리와 수집거부권을 부분적으

로 부여하고 있으나, 이러한 권리들의 실효성있는 구체적인 실현방안에 대해서는 언급이 없어서 추

후 이에 대한 보완대책의 마련이 시급하다는 비판이 제기되고 있다.126

가이드라인의 프로파일링을 허용하는 태도에 대해서도 비판적인 견해가 제기되고 있다. 가이드라

인은 정보통신서비스제공자가 비식별화조치를 하여 수집한 공개된 정보, 이용내역정보를 정보처리

시스템을 통해 조합·분석하여 새로운 정보를 생성할 수 있도록 하고 있으면서 새롭게 생성된 정보에

개인정보가 포함되어 있더라도 즉시 파기하거나 재(再)비식별화조치를 취하면 된다고 규정하고 있

는데 이는 정보주체의 동의없는 프로파일링이 되며, 새로운 정보의 생성을 허용하는 규정은 현행 개

인정보 보호법이나 정보통신망법에 비추어 위법하다고 한다.127

3) 개인정보 비식별 조치 가이드라인

① 의의

빅데이터 분석, IoT기술 등을 통한 새로운 서비스 창출과 신산업 활성화에 데이터의 활용가치가 증대

되고 있으나 크고 작은 개인정보 유추 사고가 지속되어 개인정보보호 정책을 강화해야 한다는 사회

적 요구가 계속되고 있으며 다양한 데이터 활용을 필요로 하는 새로운 산업과 기술발전으로 개인정

보 침해 위험도 증가하는 추세이므로 빅데이터 활용에 필요한 비식별조치 기준·절차·방법 등을 상세

히 안내하여 안전한 빅데이터 활용기반 마련과 개인정보보호 강화를 도모하기 위해 구체적인 가이

125 차상육, 빅데이터의 활용에 따른 개인정보 보호법제의 충돌과 과제, 한양법학 제27권 제1집(통권 제53집), 2016. 2, 337면.

126 문상일, 빅데이터와 개인정보보호, 경제법연구 제14권 제2호, 2015. 8, 272면.

127 차상육, 빅데이터의 활용에 따른 개인정보 보호법제의 충돌과 과제, 한양법학 제27권 제1집(통권 제53집), 2016. 2, 337면.

101

드라인을 정부부처 합동으로 제시한 것이다. 보다 구체적으로는 개인정보를 비식별 조치하여 이용

또는 제공하려는 사업자 등이 준수하여야 할 조치 기준을 마련하여 제시한 것이다.128

② 내용

이 가이드라인의 핵심내용은 개인정보의 비식별화를 위한 단계별 조치사항을 명확히 정하는 것이

다. 우선 1단계 ‘사전검토’로 개인정보에 해당하는지 여부를 검토한 후 개인정보가 아닌 것이 명백한

경우에는 법적 규제없이 자유롭게 활용하지만, 개인정보라고 판단이 되면 2단계 ‘비식별 조치’로 정

보집합물(데이터셋)에서 개인을 식별할 수 있는 요소를 전부 또는 일부 삭제하거나 대체하는 방법을

활용하여 개인을 알아볼 수 없도록 하는 조치를 하여야 하며, 3단계 ‘적정성 평가’로 다른 정보와 쉽

게 결합하여 개인을 식별할 수 있는지를 ‘비식별 조치 적정성 평가단’을 통해 평가한 후에, 4단계 ‘사

후관리’로 비식별 정보 안전조치, 재식별 가능성 모니터링 등 비식별 정보 활용과정에서 재식별 방지

를 위한 필요한 조치를 수행하도록 하고 있다.129

그러므로 설령 개인정보일지라도 비식별 조치가 적정하게 수행된 것이 평가되고 사후관리를 충실히

하고 있다면 데이터의 자유로운 활용이 가능하게 되며, 구체적으로는 비식별 조치된 데이터를 ‘정보

주체의 동의 없이도’ 빅데이터 분석 등에 이용하거나 제3자에게 제공하는 것을 허용하고 있다. 그러

나 불특정 다수에게 공개하는 것은 식별 위험이 크므로 원칙적으로 금지하되, 공공데이터의 제공 및

이용 활성화에 관한 법률 등 법령에 따른 공개는 제외하고 있다. 일본의 익명가공정보도 복원불가능

을 전제로 하여 정보주체의 동의를 받을 필요가 없고 제3자 제공도 자유롭지만 일정한 기술적 관리

적 조치를 하여야 한다는 점에서 우리나라의 비식별 조치된 정보와 매우 유사한 것이다.

[그림6] 비식별 조치를 통한 개인정보의 활용

이와 같이 비식별 조치를 하였다고 하더라도 데이터 이용목적을 달성하거나 해당 데이터가 불필요

하게 된 경우에는 지체없이 파기 조치하여야 한다. 그리고 비식별 조치된 정보가 유출되는 경우 다른

정보와 결합하여 식별될 우려가 있으므로 필수적인 보호조치를 이행하여야 한다. 보호조치는 ‘관리

적 보호조치’와 ‘기술적 보호조치’로 구분된다. ‘관리적 보호조치’는 비식별 정보파일에 대한 관리담

128 국무조정실 등, 개인정보 비식별 조치 가이드라인, 2016. 6, 1-2면.

129 국무조정실 등, 개인정보 비식별 조치 가이드라인, 2016. 6, 13면.

102

당자 지정, 비식별 정보파일 대장관리, 비식별 조치 관련 정보공유 금지, 이용 목적 달성시 파기 등이

있다. ‘기술적 보호조치’는 비식별 정보파일에 대한 접근권한 관리 및 접근 통제, 비식별 정보 보관시

스템에 대한 접속기록 관리, 악성 코드 방지 등을 위한 보안프로그램 설치·운영 등이 있다.

그리고 재식별 가능성을 원천적으로 봉쇄하기 위해 재식별 가능성을 정기적으로 모니터링하고, 비

식별 정보가 재식별된 경우에는 신속하게 그 정보의 처리를 중단하고 해당 개인정보가 유출되지 않

도록 필요한 조치를 하여야 한다. 재식별된 정보는 즉시 파기 조치하되 해당 정보를 다시 활용하려면

비식별 조치 절차를 다시 거쳐야 한다. 만약 비식별 정보를 재식별하여 이용하거나 제3자에게 제공

한 경우 개인정보 보호법 제18조 제1항 위반으로 5년 이하 징역 또는 5천만원 이하의 벌금이 부과

되며, 정보통신서비스제공자라면 정보통신망법 제24조 및 제24조의2 위반으로 위반행위 관련 매

출액의 3%이하 과징금이 추가 부과될 수 있다. 또한 비식별 정보를 활용하여 재식별하고도 즉시 파

기조치하지 않고 보관하고 있는 경우에는 개인정보 보호법 제15조 제1항 위반으로 5천만원 이하 과

태료가 부과되며, 정보통신서비스제공자라면 정보통신망법 제22조 제1항 위반으로 5년 이하 징역

또는 5천만원 이하 벌금형에 처해질 수 있으며 위반행위 관련 매출액의 3% 이하 과징금이 추가 부

과될 수 있다.

③ 적용의 한계

비식별 정보도 개인정보인가의 문제에 대해 가이드라인은 친절하게 “비식별 정보가 개인정보에 해

당하는지 여부가 의문이 있을 수 있으나, 가이드라인에 따라 적정하게 비식별 조치가 된 정보는 더

이상 특정 개인을 알아볼 수가 없으므로 개인정보가 아닌 것으로 추정됩니다”라고 설명하면서, “개

인정보가 아닌 것으로 추정된다는 의미는 개인정보에 해당한다는 반증이 없는 한 개인정보가 아니

되, 개인정보라는 반증이 나오는 경우 개인정보로 본다는 뜻입니다”라고 덧붙이고 있다.130 즉 비식

별 조치가 완벽히 이루어졌다고 하더라도 개인정보로서의 성격이 없어지는 것이 아니라 여전히 개

인정보이다.

그러나 이러한 해설은 다수의 정부부처 합동 가이드라인의 유권해석으로서는 도저히 납득하기 않는

애매모호함의 극치를 보여주고 있다. 비식별 조치된 정보가 개인정보가 아닌 것으로 추정되고 그 추

정이 유지되는 동안에도 왜 비식별 조치된 정보에 관리적·기술적 보호조치를 이행하도록 하는가를

논리적으로 설명할 수 없을 뿐만 아니라, 비식별 조치된 정보가 개인정보가 아닌 것으로 추정된다면

설령 반증이 이루어진 경우에 개인정보 보호법 위반에 따른 법적 책임을 지는 위험부담과는 별개로

비식별 조치된 정보는 비개인정보로서 완전히 자유로운 취급이 가능하다고 해야 논리적 정합성이

인정된다. 비식별 조치가 된 정보가 개인정보가 아닌 것으로 ‘간주’하는 것이 아니라 개인정보가 아닌

것으로 ‘추정’하는데 그친다는 것은 결국 비식별 조치의 완전성을 정부가 완전히 신뢰할 수 없다는

130 개인정보 비식별 조치 가이드라인, 국무조정실 외, 2016, 57면.

103

것을 선언하는 것은 아닌가하는 의문을 떨칠 수 없다.

비식별 조치는 적법하게 개인정보를 수집한 자가 이를 추가적인 정보주체의 동의없이 목적 외 이용

하거나 제3자에게 제공하기 위해 유일하게 허용된 적법한 수단이라는 점에서 큰 의의가 있다. 개인

정보 원본을 보유한 개인정보취급자 자신이 빅데이터 활용을 하기 위한 경우라면 규범적 민감성과

긴장은 그리 높지 않을 것이다. 왜냐하면 이미 동의를 얻어서 수집하였고 수집 주체 또한 변경이 없

으므로 단지 개인정보의 활용 목적만 확장되는 것이기 때문이다. 따라서 비식별 조치는 제3자에게

제공하기 위한 경우에 큰 의의를 갖지만 이는 한정된 제3자에게 제공하는 경우가 일반적이므로, 제

공받는 제3자의 범위가 예측할 수 없을 정도로 확장되는 IoT환경에서도 유효한가는 더 고려할 필요

가 있다고 할 것이다.

특히 IoT와 빅데이터 처리는 기술적으로 뿐만 아니라 규범적으로도 항상 완전히 동일한 양상은 아니

다. IoT를 통해 수집된 데이터를 빅데이터 처리하는 경우에 빅데이터 처리과정에는 이 가이드라인이

그대로 유효하게 적용될 수 있을 것이지만, IoT는 앞서 살펴본 바와 같이 기기나 사람이 인터넷을 통

해서 서로 연결되어 있고 수많은 정보를 주고받고 특히 기기나 사람이 서로 정보를 주고받는 과정에

서 개별적인 선택적 동의과정을 거치는 경우뿐만 아니라 사전에 포괄적으로 정보제공에 대한 허용

을 선택하는 경우도 있게 되기 때문에 빅데이터와 완전히 동일한 사태유형은 아니다. 이는 IoT환경에

서도 동의기반 개인정보 활용원칙을 그대로 준수하여 수집단계에 동의를 요해야 하는 것인가의 근

원적인 문제와 깊이 연관되어 있는 것이다.

[그림7] IoT환경에서 비식별 조치를 통한 활용의 문제점

104

6. IoT를 고려한 프라이버시 보호 방안

가. 개인정보자기결정권의 재조명

1) 개인정보자기결정권의 법적 근거

개인정보자기결정권이 우리나라 최상위 법규범인 헌법으로부터 도출된다는 점은 다수의 헌법재판

소 결정으로부터 의문의 여지없이 명백하다. 그렇다면 개인정보자기결정권은 구체적으로 헌법의 어

느 조문으로부터 도출되는가. 이에 대해 처음에 헌법재판소는 “개인정보자기결정권의 헌법상 근거

로는 헌법 제17조의 사생활의 비밀과 자유, 헌법 제10조 제1문의 인간의 존엄과 가치 및 행복추구

권에 근거를 둔 일반적 인격권 또는 위 조문들과 동시에 우리 헌법의 자유민주적 기본질서 규정 또는

국민주권원리와 민주주의원리 등을 고려할 수 있으나, 개인정보자기결정권으로 보호하려는 내용을

위 각 기본권들 및 헌법원리들 중 일부에 완전히 포섭시키는 것은 불가능하다고 할 것이므로, 그 헌

법적 근거를 굳이 어느 한두 개에 국한시키는 것은 바람직하지 않은 것으로 보이고, 오히려 개인정보

자기결정권은 이들을 이념적 기초로 하는 독자적 기본권으로서 헌법에 명시되지 아니한 기본권이라

고 보아야 할 것이다”131이라고 하여 구체적으로 한정하지는 아니하였다. 그러나 곧이어 “인간의 존

엄과 가치, 행복추구권을 규정한 헌법 제10조 제1문에서 도출되는 일반적 인격권 및 헌법 제17조의

사생활의 비밀과 자유에 의하여 보장되는 개인정보자기결정권”이라고 표현하여 헌법 제10조와 헌

법 제17조로부터 개인정보자기결정권이 도출됨을 구체적으로 명확히 하였다.

2) 프라이버시보호의 연장선상에서의 개인정보자기결정권

개인정보자기결정권이 개인정보의 보호에 있어서 중요한 기본권에 해당되지만 절대적인 권리는 아

니다.132 헌법은 국가에 대해 공공복리를 목적으로 국민의 기본권을 법률로 제한할 수 있도록 하고 있

고, 이를 바탕으로 모든 국민의 인간다운 삶과 행복추구권을 보호하도록 하고 있는 점에 비추어 정보

주체가 개인정보자기결정권으로 통제할 수 있는 개인정보의 범위를 직접식별정보에 제한하여 개인

의 활동정보가 갖는 가치의 극대화를 통한 공익증진을 모색하는 것이 바람직하다는 견해133를 주목

할 만한 하다. 이 견해에 따르면 개인정보자기결정권이 정보주체의 직접식별정보에 제한한다는 말

은 곧 인격권으로 보호될 수 있는 개인정보만이 개인정보자기결정권의 객체가 될 수 있다는 것이고,

이는 곧 개인정보자기결정권은 프라이버시보호의 연장선상에 있는 것이 된다. 헌법재판소의 결정

중에서도 개인정보자기결정권은 헌법 제10조 제1문에서 도출되는 일반적 인격권에 의해서 보장되

131 헌법재판소 2005.5.26, 99헌마513결정.

132 정상조, “위치기반서비스 규제에 관한 연구”, 2015 NAVER privacy White Paper, 2016, 52면.

133 정준현, 개인정보의 보호와 이용의 균형을 위한 법적 문제와 개선방향, 법학논총 제38권 제1호, 단국대학교 법학연구소, 2014,

140면.

105

는 것이라는 점을 명확히 밝힌 바 있다.134

3) 정보주체의 표현의 자유로서의 개인정보자기결정권

기존의 연구들에서 간과되고 있는 점은 개인정보자기결정권이 정보주체의 표현의 자유와 긴밀하게

연관되어 있다는 것이다. 드물게 개인정보자기결정권을 익명성의 보호라는 관점에서 표현의 자유와

의 관련에 대해 “개인정보에 대한 무제한적인 접근이 허용된다면 정보주체의 표현의 자유가 위축될

수 있다. 가령 어떤 사람이 인터넷에서 익명으로 글을 남기고자 하더라도 그 인터넷 게시판 운영자

가 그의 개인정보를 공개하거나 유통하는 것을 통제하지 못한다면 그가 행사한 익명의 표현의 자유

는 실질적으로 침해된다”135고 지적하는 견해가 존재한다. 이는 소극적으로 자신을 드러내지 않고 익

명으로서 표현의 자유를 누리고자 하는 개인정보자기결정권이며, 정보주체의 표현의 자유 그 자체

라기보다는 표현의 자유의 전제조건으로서의 의미를 갖는다. 또 개인정보자기결정권이 기업의 경제

상의 자유와 창의는 헌법상 보호되어야 할 기본적인 경제질서에 해당되고 광고 등을 통한 표현의 자

유도 헌법상 보호되어야 할 중요한 기본권에 해당된다는 견해도 있다.136 그러나 여기에서의 표현의

자유라 함은 정보주체의 표현의 자유가 아니라 정보주체의 개인정보보호의 대척점에 있는 상대방의

표현의 자유이며, 역설적으로는 상대방의 개인정보를 활용할 표현의 자유라고 할 것이므로 정보주

체의 표현의 자유와는 구분되는 것이다.

개인정보자기결정권을 이와 같이 정보주체의 개인정보를 노출하지 않은 상태에서의 표현의 자유나

혹은 개인정보를 활용하고자 하는 상대방의 표현의 자유와 연관지어 고찰하는 것을 뛰어 넘어 시각

을 확장하거나 발상을 전환할 필요가 있다. “개인정보 보호법제가 보호하고자 하는 것은 개인정보 그

자체라기보다는 개인정보에 대한 개인의 권리, 즉 개인정보자기결정권이다”137라는 견해가 시사하

는 바와 같이 개인정보자기결정권을 반드시 개인정보를 소극적으로 보호받겠다는 관점에서만 이해

할 필요는 없다. 특히 SNS 등을 통해 자기 자신을 적극적으로 노출하고 또 능동적으로 의사소통을

시도하는 최근의 트렌드에 따르면 오히려 개인정보를 적극적으로 노출하고자 하는 정보주체의 의지

도 개인정보자기결정권에 포함시켜야 한다. 자신이 생일날 저녁식사를 특급호텔 최고급 레스토랑에

서 애인과 함께 즐겼음을 이른바 ‘인증샷’과 더불어 노출시키고 나아가 주변에게 널리 전파하여 과시

하고자 하는 욕구나 독일산 최고급 스포츠카를 구입하였음을 자동차, 차량 번호, 자신의 가족이 함께

찍은 사진을 통해 자랑하고자 하는 욕구가 SNS에 넘쳐나고 있다. 자기에 대한 개인정보를 드러냄으

134 헌법재판소 2005.7.21, 2003헌마282 결정.

135 권영준, “개인정보자기결정권과 동의제도에 대한 고찰”, 2015 NAVER privacy White Paper, 2016, 98면.

136 정상조, “위치기반서비스 규제에 관한 연구”, 2015 NAVER privacy White Paper, 2016, 53면.

137 권영준, “개인정보자기결정권과 동의제도에 대한 고찰”, 2015 NAVER privacy White Paper, 2016, 91면.

106

로써 자아를 실현하고자 하는 의지를 표출하는 행위138는 진정한 의미의 정보주체의 표현의 자유 그

자체라고 하지 않을 수 없다. 즉 개인정보자기결정권은 원하지 않는 개인정보의 노출로부터의 소극

적 보호뿐만 아니라 개인정보의 공개를 통해 자신을 표현하는 적극적 행위의 두 가지 측면이 균형 있

게 조망되어야 한다. 개인정보자기결정권은 정보주체가 자신의 개인정보를 노출시키지 않을 것인지

아니면 적극적으로 노출시킬 것인지를 스스로 자유롭게 결정할 수 있고 이를 제3자가 존중해야 할

의무를 부담하는 것으로 폭넓게 확장되어야만 한다.

개인정보 보호법은, 제1조의 법문에 명시적으로 나타나는 바와 같이, “개인의 자유와 권리를 보호하

고, 나아가 개인의 존엄과 가치를 구현함을 목적으로” 하는 것이다. 즉 소극적 보호뿐만 아니라 개인

의 가치를 적극적으로 구현하는 것을 목적으로 하는 것이므로 개인정보자기결정권의 두 가지 측면

모두를 법의 목적으로 설정하고 있다. 다만 숨기고 싶은 상대에게는 소극적으로 은폐되어야 하는 반

면, 알리고 싶은 상대에게는 적극적으로 노출시키고자 하는 극단적 성향을 갖는다는 점에서 이중적

이고 모순적이다. 이러한 이중성과 모순이 개인정보에 대한 올바른 법적 규율을 지극히 어렵게 하는

근원이라고 할 수 있다.

4) 개인정보자기결정권과 재산권

개인정보자기결정권의 본질을 재산권적인 관점에서 조망하는 견해도 존재한다. 개인정보도 정보이

며 정보가 자유로운 유통의 대상이 된다는 것은 현대 정보사회에서 정보가 제4의 자원, 중요한 가치

창출요소로서 계약 등 거래의 대상이 될 수 있음을 의미한다. 오늘날 정보는 단독으로 또는 다른 요

소와 결합하여 중요한 재화의 하나로 간주되고 있으며 그런 의미에서 정보를 정보재로 파악하는 관

점도 등장하게 되었다. 이러한 관점에서는 정보도 헌법이 보장하는 재산권의 객체가 될 수 있을 것이

다. 또한 정보가 다른 요소와 함께 개인의 영업에 있어서 중요한 요소를 이루고 있는 경우에는 영업

권이나 영업의 자유와도 관련을 가지게 될 것이다.139 개인정보는 정보주체의 재산일 뿐만 아니라 그

러한 개인정보를 수집한 기업의 재산이기도 하기 때문에 개인정보의 수집과 이용 등에 관한 과도한

규제는 재산의 가치와 효용을 떨어뜨릴 수 있다고 보는 것이다. 그러나 개인정보자기결정권을 재산

권적인 관점에서 파악한다고 하더라도 인격권으로서의 성격을 전적으로 부인하는 것은 아니다.140

개인정보자기결정권의 본질에서 재산권적인 성질을 강조하는 견해는 인격권이 경우에 따라서는 인

격적 가치에 더불어 어느 정도 유의미한 재산적 가치를 함께 가진다는 특성을 주목하는 것이다. 예를

들어 인터넷 쇼핑몰에서 회원의 개인정보를 보험회사에 제공하는 조건으로 5천원의 할인쿠폰을 제

공한다던가 아니면 정보주체의 상세한 개인정보를 응모권에 기재하고 이를 마케팅에 활용하는 것을

138 일상생활에서 빈번하게 행하여지는 명함의 교환은 전형적인 개인정보를 표출함으로써 자기 자신을 상대에게 표현하는 행위의

전형이다.

139 함인선, 개인정보처리와 관련한 법적 문제, 경제규제와 법 제26권 제1호, 2013. 5, 153-154면.

140 정상조, “위치기반서비스 규제에 관한 연구”, 2015 NAVER privacy White Paper, 2016, 51면.

107

조건으로 하여 경품 당첨의 기회를 제공하는 경우에 정보주체의 개인정보는 인격적 가치에서 즉각

재산적 가치로 객관적으로 전환될 것이다.141

개인정보 이외에도 재산적 가치있는 인격권을 찾아보는 것은 어렵지 않다. 그 대표적인 것이 퍼블리

시티권이라고 할 수 있다. 독일 연방대법원의 말레네(Marlene) 판결142에서 말레네 디트리히의 초상

및 필적을 뮤지컬 제작자가 상업적인 용도로 활용한데 대해 그의 유일한 상속인인 Maria Riva가 금

지청구 및 손해배상청구를 한 것을 인용하면서, 일반적 인격권 및 그 특수한 발현형태들은 주로 정신

적 이익, 특히 인격적 가치의 존중이라는 요구의 보호에 봉사하는 것이지만 그 외에 또한 재산적 이

익을 보호하는 것이기도 하다고 하여 인격권의 재산권적 성격을 명백히 한 후 그러한 인격권의 재산

권적 구성부분은 상속성을 갖는 것이라고 하였다.143 독일 연방대법원은 이 말레네 판결 이전부터 인

격권에 대해 재산권적 속성을 부여하고 있었으며,144 이러한 인격권의 재산권적 구성부분의 상속성

을 인정하여 왔다.145 물론 독일 연방대법원이 유명인사의 초상에 대해 재산권적 성격을 갖는 인격권

으로서 상속성을 인정하는 태도는 미국과 같이 인격에 바탕을 둔 독립적인 무체재산권으로서의 이

른바 ‘퍼블리시티권’146이라는 개념을 도입하지 않고 있는데 따른 변칙적인 이론구성이라고 그 의미

를 축소하여 평가할 수도 있을 것이지만, 인격권은 비재산권으로서 권리주체와 그 운명을 같이한다

는 도그마를 정면으로 포기하는 점에서 큰 의의를 찾을 수 있을 것이다.147

그렇다고 해서 개인정보의 재산권적 성질을 강하게 강조하는 것은 결코 적절하지 않다. 특히 기본적

으로 개인정보는 그 인격 또는 인격주체의 자유와 재산 또는 생명에 위해를 가하는데 이용될 수 있는

정보에 불과하고 인격 그 자체와는 다르기 때문에 개인정보보호의 법리는 개인정보의 오남용으로

위해 인격주체의 자유와 재산 또는 생명에 가해지는 무형적 위험을 방지하기 위한 법리로서 인격 자

체를 보호대상으로 한다고 단언할 수 없다는 견해148에는 공감하기 어렵다. 개인정보를 활용하여 얻

는 재산적 이익이 있다고 하여 개인정보 자체가 곧 재산권이라고 보는 것은 논리적 비약이고,149 개인

정보의 보호가 단순히 정보주체의 위험을 방지하기 위한 것이라고 이해하는 것은 프라이버시와 프

라이버시의 침해로 생기는 결과를 구분하지 않는 문제를 드러내는 것이다. 개인정보는 프라이버시

그 자체이고, 개인정보의 원하지 않는 노출은 프라이버시 침해이며, 개인정보의 노출로 인한 자유와

141 아쉽게도 개인정보자기결정권이라는 헌법이 보장하는 기본권적 가치의 재산적 교환가치는 몇 천원 또는 당분간의 경품당첨의 허망한

기대에 불과한 것이 일반적이다.

142 이 판결의 상세한 내용 및 검토에 대해서는 안병하, “독일 인격권 논의의 근래 동향”, 한독법학 제17호, 2012, 96면 이하를 참고.

143 BGH NJW 2000, 2195, 2197: 안병하, 앞의 논문, 98면에서 재인용.

144 안병하, 위의 논문, 100면.

145 안병하, 위의 논문, 103면.

146 유명인의 초상을 상품광고에서 활용하는 것처럼 인격권 중 재산가치가 확연한 것(초상권, 성명권)을 인격권과 별도의 새로운 일종의

재산권으로 인정하는 것이 퍼블리시티권이라 할 수 있다.

147 오병철, 인격적 가치 있는 온라인 디지털정보의 상속성, 가족법연구 제27권 제1호, 2013, 160면.

148 정상조, “위치기반서비스 규제에 관한 연구”, 2015 NAVER privacy White Paper, 2016, 52면.

149 권영준, “개인정보자기결정권과 동의제도에 대한 고찰”, 2015 NAVER privacy White Paper, 2016, 100-101면.

108

재산 또는 생명에 가해지는 무형적 위험은 프라이버시 침해가 가져오는 확대손해이다. 결과적으로

개인정보는 ‘재산적 가치도 있는 인격권’으로 이해하는 것이 옳다.

개인정보를 ‘재산적 가치도 있는 인격권’이라고 할 때, 재산적 가치를 우선해야 하는지 아니면 인격

권을 우선해야 하는가의 기본권의 충돌 문제가 발생할 수 있다. 이러한 기본권 상호간의 충돌에 대해

구체적인 사안에서의 사정을 종합적으로 고려한 이익형량과 함께 양 기본권 사이의 실제적인 조화

를 꾀하는 해석 등을 통하여 이를 해결하여야 하고, 그 결과에 따라 정해지는 양 기본권 행사의 한계

등을 감안하여 그 행위의 최종적인 위법성 여부를 판단하여야 한다.150 이에 대해 개인정보의 성격과

내용이 매우 다종·다양하여 무한한 가치사슬의 형성이 가능함에도 불구하고 개인정보와 관련한 개

인정보 보호법과 정보통신망법이 큰 차이 없이 개인정보의 보호만을 목적으로 하고 개인정보에 내

재된 이용가치를 외면하고 있는 것 그 자체가 비례원칙에 반하는 것으로 볼 수 있다는 견해151도 제

기되고 있다. 그러나 대립되는 두 자유권, 즉 한 쪽 사인(私人)의 프라이버시와 다른 한 쪽 사인의 영

업의 자유 사이의 조화와 균형을 이루기 위해서는 두 자유의 가치를 비교형량한 후 덜 중요한 자유를

제한하는 방법으로 법제화하는 것이 필요하다.152

생각해 보건대 적어도 개인정보를 통해 얻을 수 있는 영업상의 재산적 가치보다는 정보주체의 인격

권을 보다 중요하게 여기는 방향으로 규율되어야 한다. 왜냐하면 개인정보자기결정권이 도출되는

헌법 제10조 제1문의 인간의 존엄과 가치 및 행복추구권은 기본권 중에서도 가장 중요한 최상위의

기본권이라고 할 것이기 때문이다. 그러므로 재산적 가치와 인격권이 해결 불가능한 갈등과 충돌상

황에 놓여 택일적인 선택을 해야 할 경우라면 인격권 보호를 위해 재산적 가치를 양보하는 방향으로

선택되어야 할 것이다.

5) 형성과정에 있는 개인정보자기결정권

개인정보를 인격권의 관점에서 파악하면서도 사회성을 강조하는 견해는 주목할 만하다. 개인정보는

오로지 개인에게 속하는 정보라기보다는 공동체와 개인을 연결시켜 주는 정보로서,153 상당수의 개

인정보는 타인이 개인을 식별할 수 있도록 하는 표지로서 이미 개념 그 자체에서 다분히 공유재산적

인 성격을 가진다는 주장154이 그것이다. 실질적으로 고립된 자아만의 개인정보란 의미를 갖지 못하

며, 사회 속에서 타인과의 구별표지로서 또는 개성 표출 수단으로서 비로소 개인정보는 가치를 갖는

것이다.

150 대법원 2010. 4. 22, 2008다38288 전원합의체 판결.

151 정준현, 개인정보의 보호와 이용의 균형을 위한 법적 문제와 개선방향, 법학논총 제38권 제1호, 단국대학교 법학연구소, 2014,

139면.

152 김현경, 개인정보의 개념에 대한 논의와 법적 과제, 미국헌법연구 제25권 제2호, 2014. 8, 147면.

153 권영준, “개인정보자기결정권과 동의제도에 대한 고찰”, 2015 NAVER privacy White Paper, 2016, 108면.

154 권영준, “개인정보자기결정권과 동의제도에 대한 고찰”, 2015 NAVER privacy White Paper, 2016, 106면.

109

개인정보의 보호가 법적으로 주목되기 시작한 것은 21세기 중반 이후이므로 장구한 인류의 법규범

의 역사를 감안하면 극히 최근의 일이라고 할 수 있다.155 왜 21세기 이후에야 개인정보보호가 법적

인 관심대상으로 본격적으로 등장한 것일까. 분명히 그 이전에 살다가 사라진 수많은 사람들에게도

개인정보는 있었을 것인데 왜 오랜 기간 동안 법적 관심에서 벗어나 있었던 것일까. 이러한 의문에

대한 해답은 아마도 “위험의 증대는 추월적 보호를 야기한다.”는 점에서 찾을 수 있을 것 같다.

오랜 기간 인류는 정보주체로서 개인정보를 보유하고 있었고, 의식적이건 무의식적이건 자신의 의

지에 따라 개인정보를 은폐하거나 노출하면서 살아왔다. 설령 자신의 의지와 달리 개인정보가 상대

방에게 또는 세상에 노출된다고 하더라도 그 노출이 가져오는 위험을 중요하게 인식하지 않았다. 인

간의 기억과 아날로그적인 기록에는 물리적인 한계가 있어서 개인정보의 수집과 축적은 양적으로나

질적으로나 제한될 수밖에 없었고, 또한 ‘망각’이라는 자연적인 보호수단에 따라 개인정보의 저장은

시간적인 한계를 갖고 있었기 때문이다. 우리나라의 1970년대이후 가정과 공중전화 부스에는 매우

두꺼운 전화번호부가 전화기 옆에 비치되어 있었고, 서울 시내 전화가입자의 성명, 주소, 전화번호가

빠짐없이 기록된 전화번호부를 누구든지 자유롭게 열람할 수 있었던 것이 자연스러웠다. 왜냐하면

그것이 전혀 위험하지 않다고 모두가 인식하였기 때문이다.156 그러나 21세기 중반 이후 컴퓨터와 같

은 새로운 도구가 등장한 이후 기억과 기록 그리고 망각의 한계는 자연스럽게 극복되었고, 더욱이 데

이터 매칭을 통해 개인정보의 확장적 식별이 가능하게 됨으로써 의도하지 않는 개인정보 노출에 대한

위험은 크게 증대되었다. 과거에는 자연스럽게 잊혀 졌으나 이제는 기억 속에서 쉽게 사라지지도 않게

되었고, 숨고 싶어도 숨기 어려운 시절을 맞게 된 것이다. 드디어 개인정보를 규범적으로 강하게 보호

해야 할 사회적 합의가 도출되기에 이르렀고, 새로운 법률과 새로운 권리가 등장하게 되었다.

나. 개인정보자기결정권의 한계

1) 현행 법률상의 개인정보자기결정권의 유보

개인정보 보호법에서는 개인정보의 수집과 목적 범위 내 이용이 가능한 경우를 제15조 제1항에서

규율하고 있다. 동조 제1호는 “정보주체의 동의를 받은 경우”를 규정하고 있으며 이는 개인정보자기

결정권의 구체적인 표현이다. 동조에서는 그 외의 경우, 즉 정보주체의 동의를 받지 않은 경우에도

가능한 사유를 제한적으로 열거하고 있으며, 이는 개인정보자기결정권의 한계이자 동의권의 유보

조항이라고 할 수 있다.

155 명확히 증명된 것은 아니지만, 1970년 독일 헤센 주의 정보보호법이 정보보호에 관한 최초의 법률이고, 개인정보자기결정권에 대한

최초의 언급이 1971년에 이루어진 것으로 추정하고 있다; 권영준, “개인정보자기결정권과 동의제도에 대한 고찰”, 2015 NAVER

privacy White Paper, 2016, 107면.

156 아마 1970년대의 우리나라 전화가입 자체의 어려움을 생각하면 자신의 이름, 주소, 전화번호가 적힌 전화번호부가

자랑스러웠을지도 모르고, 이것이 개성표출로서의 개인정보 공개를 통한 자아실현일 수 있다.

110

개인정보 보호법 제15조 제1항 제2호부터 제6호까지는 정보주체의 개인정보자기결정권이 적용되

지 않는 예외적인 사유를 규정하고 있다. 즉 법률에 특별한 규정이 있거나 법령상 의무를 준수하기

위하여 불가피한 경우(동조 제2호), 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가

피한 경우(동조 제3호), 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우(동조

제4호), 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전

동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위

하여 필요하다고 인정되는 경우(동조 제5호), 개인정보처리자의 정당한 이익을 달성하기 위하여 필

요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우로서 개인정보처리자의 정당한 이익과

상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우에 한한다(동조 제6호).

그리고 개인정보 보호법 제18조 제2항에서는 개인정보의 수집이 아닌 목적 외 이용이나 제3자 제공

의 경우에 대해서도 다음과 같은 경우에는 정보주체의 동의 없이, 즉 개인정보자기결정권의 적용을

유보하고 있다. 구체적으로는 다른 법률에 특별한 규정이 있는 경우(동조 제2호), 정보주체 또는 그

법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우

로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는

경우(동조 제3호), 통계작성 및 학술연구 등의 목적을 위하여 필요한 경우로서 특정 개인을 알아볼

수 없는 형태로 개인정보를 제공하는 경우(동조 제4호), 개인정보를 목적 외의 용도로 이용하거나 이

를 제3자에게 제공하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우로서 보호

위원회의 심의·의결을 거친 경우(동조 제5호), 조약, 그 밖의 국제협정의 이행을 위하여 외국정부 또

는 국제기구에 제공하기 위하여 필요한 경우(동조 제6호), 범죄의 수사와 공소의 제기 및 유지를 위

하여 필요한 경우(동조 제7호), 법원의 재판업무 수행을 위하여 필요한 경우(동조 제8조), 형(刑) 및

감호, 보호처분의 집행을 위하여 필요한 경우(동조 제9호)이다.

이러한 개인정보자기결정권의 한계 내지 유보는 IoT에서도 그대로 적용되어야 한다. 예를 들어 스마

트 그리드의 경우에 수용가의 스마트 전력량계와 전력회사의 서버가 주고받는 정보에 계약자의 개

인정보가 포함되어 있다고 하더라도 이는 “정보주체와의 계약의 체결 및 이행을 위하여 불가피하게

필요한 경우”(개인정보 보호법 제15조 제1항 제4호)에 해당되어 정보주체의 개인정보자기결정권으

로서 사전 동의 없이도 수집이 가능하다고 해석할 수 있다. 주지하다 시피, 현행 개인정보 보호법 등

의 법규가 정한 개인정보자기결정권의 한계 내지 유보 조항만으로는 스마트카나 스마트시티와 같은

IoT환경 전부를 완전하게 규율하기에는 충분하지 않기 때문에 문제가 된다.

2) 공개된 개인정보

① 공개된 개인정보와 표현의 자유

개인정보를 소극적인 보호의 대상을 넘어 자신을 사회구성원들에게 널리 알리고자 하는 표현의 자

유 측면에서도 조망되어야 함은 앞서 살펴본 바와 같다. 현대인의 자기를 드러내고자 하는 노출의 욕

111

구는 자신을 감출 권리만큼이나 강렬한 것이다. 내가 누구이고 언제 어디서 무엇을 했는가 하는 자신

의 일상생활을 낱낱이 SNS나 1인 방송을 통해 노출시키는 행태는 매우 보편적이다. 심지어는 자신

을 더 알리지 못해서 아쉬워하는 사람도 부지기수이다. 이들이 스스로 노출하여 공개하는 개인정보

까지도 엄격하게 보호할 필요가 있는가는 의문이 아닐 수 없다.

② 공개된 개인정보에 대한 대법원 판례

공개된 개인정보도 개인정보자기결정권의 보호대상이 되는가에 대해 헌법재판소는 “개인정보자기

결정권의 보호대상이 되는 개인정보는 개인의 신체, 신념, 사회적 지위, 신분 등과 같이 개인의 인격

주체성을 특징짓는 사항으로서 그 개인의 동일성을 식별할 수 있게 하는 일체의 정보라고 할 수 있

고, 반드시 개인의 내밀한 영역이나 사사(私事)의 영역에 속하는 정보에 국한되지 않고 공적 생활에

서 형성되었거나 이미 공개된 개인정보까지 포함한다.”157라고 밝힌 바 있었다. 그렇다면 정보주체

스스로 공개한 개인정보에 대해서도 다른 개인정보와 동일한 수준의 개인정보자기결정권에 따른 보

호가 주어져야 하는가.

이러한 의문에 대한 중요한 법적 판단이 최근 행하여졌다. 대법원 판례158는 “개인정보 보호법은 개

인정보처리자의 개인정보 수집·이용(제15조)과 제3자 제공(제17조)에 원칙적으로 정보주체의 동

의가 필요하다고 규정하면서도, 그 대상이 되는 개인정보를 공개된 것과 공개되지 아니한 것으로 나

누어 달리 규율하고 있지는 아니하다. 정보주체가 직접 또는 제3자를 통하여 이미 공개한 개인정보

는 그 공개 당시 정보주체가 자신의 개인정보에 대한 수집이나 제3자 제공 등의 처리에 대하여 일정

한 범위 내에서 동의를 하였다고 할 것이다. 이와 같이 공개된 개인정보를 객관적으로 보아 정보주체

가 동의한 범위 내에서 처리하는 것으로 평가할 수 있는 경우에도 그 동의의 범위가 외부에 표시되지

아니하였다는 이유만으로 또다시 정보주체의 별도의 동의를 받을 것을 요구한다면 이는 정보주체의

공개의사에도 부합하지 아니하거니와 정보주체나 개인정보처리자에게 무의미한 동의절차를 밟기

위한 비용만을 부담시키는 결과가 된다. <중략> 따라서 이미 공개된 개인정보를 정보주체의 동의가

있었다고 객관적으로 인정되는 범위 내에서 수집·이용·제공 등 처리를 할 때는 정보주체의 별도의

동의는 불필요하다고 보아야 할 것이고, 그러한 별도의 동의를 받지 아니하였다고 하여 개인정보 보

호법 제15조나 제17조를 위반한 것으로 볼 수 없다”라고 판시하여 정보주체에 의해 공개된 개인정

보는 수집이나 제3자 제공 등의 처리에 대해 이미 동의를 한 것으로 간주하여 추가적인 별도의 동의

를 요하지 않는 것으로 판단하였다.

다만 정보주체가 자신의 개인정보를 공개함으로써 개인정보의 처리에 대한 동의를 하였다고 추단하

더라도 그에는 한계가 있다는 점을 명확히 하였다. 즉 선한 목적의 개인정보의 공개에 범죄에 악용되

157 헌법재판소 2005.05.26. 선고 99헌마513,2004헌마190(병합).

158 대법원 2016. 8. 17, 선고 2014다235080.

112

는 것 까지도 동의하였다고 추단하는 것은 옳지 않다. 판례는 “정보주체의 동의가 있었다고 인정되는

범위 내인지는 공개된 개인정보의 성격, 공개의 형태와 대상 범위, 그로부터 추단되는 정보주체의 공

개 의도 내지 목적뿐만 아니라, 정보처리자의 정보제공 등 처리의 형태와 그 정보제공으로 인하여 공

개의 대상 범위가 원래의 것과 달라졌는지, 그 정보제공이 정보주체의 원래의 공개 목적과 상당한 관

련성이 있는지 등을 검토하여 객관적으로 판단하여야 할 것이다”라고 하여 동의로 추단되는 범위를

총체적인 사정을 고려하여 객관적으로 판단하고 있다.

판례가 지적하는 바와 같이 개인정보 보호법에는 공개된 개인정보에 대해서 별도의 특별한 규율을

하고 있지 아니하다. 그러므로 공개된 개인정보에 대해서는 다시 정보주체의 명시적인 동의를 요하

지 않는다는 판례는 일종의 사법부에 의한 입법행위로서의 의미까지 부여할 수 있을 것이다. 다만 간

과하여서는 안되는 점은 판례이론에 따르면 공개된 개인정보라 할지라도 정보주체의 동의 자체가

필요없는 것이 아니라, 공개하는 행위 자체가 그 공개하는 목적 범위 내에서는 이미 동의를 한 것으

로 묵시적으로 추단된다는 것이다. 즉 이미 공개를 통해 수집을 묵시적으로 동의했으므로 추가적으

로 명시적인 동의를 받는 것은 불필요하다는 것이다. 판례는 공개된 개인정보라 할지라도 정보주체

의 동의가 있었다고 인정되는 범위를 벗어나는 경우에는 정보주체의 동의 없이 수집할 수 없다는 한

계를 제시하고 있으며, 공개를 통해 동의가 있었다고 인정되는 범위인가의 판단기준에 대해서는 다

양한 요소들을 제시하고 있으나 객관적으로 명확한 판단이 용이한 것은 아니다. 그러한 점에서는 공

개된 개인정보에 대한 법적 규율에 관한 법리를 향후 좀 더 정교하게 다듬어야 할 필요가 있다.

③ 빅데이터 개인정보보호 가이드라인

방송통신위원회의 2015년 빅데이터 개인정보보호 가이드라인 제4조는 공개된 정보의 수입·이용

에 대해서 규율하고 있다. 이 가이드라인에서는 개인정보가 포함된 공개된 정보를 법령상 허용된 경

우가 아니라면 비식별화조치를 한 경우에 이용자의 동의 없이 수집·이용할 수 있도록 하였다. 개인

정보가 포함된 공개된 정보라도 법률상의 예외를 제외하고 원칙적으로 이용자 동의를 받거나 비식

별화 조치를 취한 후 수집·이용하게 함으로써 이용자의 개인정보를 보호하고 있다.159 이러한 태도

는 전술한 최근 대법원 판례에 나타난 판례이론과는 배치되는 것으로서 사법부의 법해석인 판례와

일종의 행정부의 유권해석인 가이드라인이 서로 불일치하는 문제를 보이고 있다. 시간상으로 볼 때,

2015년 방송통신위원회의 가이드라인이 보다 뒤에 이루어진 2016년 대법원 판례로 인해 조만간

공식적으로 개정되어야 하는 것은 아닌가 하는 생각이 든다.

④ IoT에서의 공개된 개인정보

앞서 살펴본 판례와 가이드라인에도 불구하고 IoT에서의 공개된 개인정보에 대한 프라이버시 침해

159 방송통신위원회/한국인터넷진흥원, 빅데이터 개인정보보호 가이드라인 해설서, 2015. 2, 10면.

113

를 우려하는 견해가 제기된다. 스마트 체중계는 인터넷에 연결되고 각종 분석기능과 다양한 서비스

와 연동이 가능한 사물인터넷의 대표적인 기기라고 할 수 있으며, 어떤 스마트체중계는 측정한 개인

의 체중정보를 개인의 선택에 따라 트위터와 같은 SNS에 업로드할 수 있다. 이는 공개된 개인정보이

므로 정보주체의 동의 없이 수집할 수 있다면 보험회사가 해당 정보를 자유롭게 수집하여 사용자에

게 맞춤형 보험상품 판매영업이 가능하고 또 이미 자기 회사의 보험에 가입한 가입자라면 체중의 변

화에 따라 건강 위험도의 변화로 인식하여 자사의 보험손실을 우려하여 해당 사용자에 영향력을 미

치고자 할 수도 있을 것이다. 또 공개된 정보를 보험회사의 이익을 위해 분석한 후 이를 가공하여 부

가가치가 높은 다른 정보로 변환할 수도 있고 이를 제3의 업체에 판매하는 것도 가능할 것이다. 그렇

다면 어떤 경우든 정보주체의 의사와는 관계없이 개인정보가 활용되는 것이므로 개인정보자기결정

권의 실효성있는 확보가 어렵고 이는 프라이버시 침해가 발생하는 것이라고 한다.160

그러나 IoT환경에서 공개된 개인정보에 대한 정보주체의 동의추단은 매우 시사하는 바가 크다고 생

각한다. IoT환경에서 정보주체의 사전 동의를 요하지 않고 수집을 할 수 있도록 허용하는 거의 유일

한 규제 우회의 통로가 될 수 있을 것이다. IoT환경에서는 사물이 사물이나 사람과 서로 정보를 교환

하여야 하는데, IoT기기의 보유자는 그러한 통신과정에서 자신의 개인정보가 포함된 정보가 교환된다

는 것을 알면서도 기기에 자신의 개인정보를 의도적으로 포함시켰다면 이는 ‘공개된 개인정보’라고 할

수 있을 것이다. 이 경우에 판례이론을 적용하게 되면 정보주체의 사전 동의 없이도 IoT기기 사이에서

자유롭게 정보를 주고받더라도 개인정보 보호법을 위반하지 않았다고 평가될 수 있을 것이다.

IoT환경에서 정보주체가 의도적으로 기기에 입력한 정보를 공개된 개인정보라고 인정하기 위해서는

엄격한 요건이 충족되어야 할 것이다. 판례이론이 “공개된 개인정보의 성격, 공개의 형태와 대상 범

위, 그로부터 추단되는 정보주체의 공개 의도 내지 목적뿐만 아니라, 정보처리자의 정보제공 등 처리

의 형태와 그 정보제공으로 인하여 공개의 대상 범위가 원래의 것과 달라졌는지, 그 정보제공이 정보

주체의 원래의 공개 목적과 상당한 관련성이 있는지 등을 검토하여 객관적으로 판단”하여야 한다고

하므로 이러한 판단기준을 적용한 요건을 정립할 필요가 있다.

3) 필수호환적 개인정보

IoT의 핵심은 사물과 사물 그리고 사물과 사람 간의 통신이 쌍방향으로 실시간 원활히 행하여져야 한

다는 점이다. IoT환경의 사물과 사물이 쌍방향으로 실시간으로 통신을 하는 과정에서 사물의 소유자

나 이용자에 대한 개인정보 또는 소유자나 이용자를 유추할 수 있는 사물의 등록정보를 서로 교환해

야만 하는 경우도 있게 된다. 이러한 IoT환경에서는 전통적인 개인정보의 동의기반 활용체제가 더 이

상 유지될 수 없다는 다음과 같은 비판적 견해가 유력하다. 즉 사람이 개입하지 않고 정보가 수집, 이

용되는 사물인터넷 체제 하에서는 사전에 정보주체로부터 일일이 개인정보수집과 이용에 대한 동의

160 김호원, 사물인터넷환경에서의 보안/프라이버시 이슈, TTA Journal Vol.153, 2014. 5, 37면.

114

를 받는 것이 거의 불가능하고, 그러한 동의를 받도록 법적으로 강제하는 동의제도는 사물인터넷과

관련된 기술의 발전에 장애가 될 수 있다. 또한 엄격한 동의 제도는 정보의 효율적 교환과 이에 기초

한 자동적인 처리를 전제로 하는 사물 인터넷 체제를 붕괴시킬 우려가 있다.161

IoT에서 요구되는 필수호환적 개인정보에 대해 전통적인 동의기반의 개인정보활용체제에서 특별한

취급이 요구된다고 해서 이를 과대평가하는 태도는 지양되어야 한다. IoT환경의 필수호환적 개인정

보에 정보주체의 사전 동의를 요구하는 것이 비현실적이므로 현행 동의제도에 대한 예외사항으로

설정한다고 해서, 또 사물인터넷이 곧 사회 전반에 영향을 미치는 기본적인 정보교환 체제로 구축될

것이므로 이러한 광범위한 체제에 대해 예외를 설정한다는 것은 곧 동의제도가 개인정보 보호법제

에서 차지하는 위상이 바뀐다는 것을 의미하는 것이며 개인정보자기결정권-동의 제도로 연결되는

현행 개인정보 보호 법제를 전반적으로 재검토하는 계기가 도래하였음을 의미한다는 주장162은 조금

과도하다는 느낌을 갖게 한다.

다. 프라이버시보호 지향적 설계

1) 프라이버시 보호 지향적 설계의 중요성

IoT는 자동화된 대량의 신속한 통신을 수반하게 되므로 통신과정에서 정보주체 동의기반의 프라이

버시 보호는 한계가 있음은 이미 지적한 바와 같다. 그러므로 IoT통신과정에서 주고받는 데이터에 담

기는 개인정보가 최소화되도록 프라이버시보호 지향적 설계를 하는 것이 더 효과적일 수 있다. 이는

기술적 코드가 규범적 코드를 대체하는 현상의 일종이라고 할 수 있다.

최근 EU 및 미국 등지에서 법제화 담론이 진행되고 있는 ‘설계시 프라이버시 고려(Privacy by

Design) 규정’은 시사하는 바가 크다. 설계시 프라이버시 고려는 기본적으로 서비스 등의 최초 설계

단계부터 프라이버시 보호를 고려해야 한다는 내용을 가지고 있다. 설계시 프라이버시 고려라는 관

념은 캐나다의 카부키안(Ann Cavoukian) 박사가 1990년대에 제안했던 것으로 알려져 있다. 이는

기존 법제도상의 프레임워크를 따르는 것만으로는 미래에 프라이버시를 제대로 보호하기 어렵다는

관점에서 출발한 것이다. 카부키안 박사는 설계시 프라이버시 고려와 관련하여 7개 원칙을 제시하

고 있다. ① 사전 대비 및 예방, ② 기본설정(Default Setting)으로서의 프라이버시, ③ 아키텍처 또

는 시스템에 내재된 프라이버시, ④ 포괄적 기능성 (포지티브섬: Positive-Sum), ⑤ 전체 생애주기

적 보호 (End-to-End), ⑥ 가시성과 투명성, ⑦ 개인 프라이버시 존중(이용자 중심)이 그것이다. 사

실 카부키안 박사의 주장은 법제화를 직접적으로 의도한 것이라기보다는 개인 정보 또는 프라이버

시 보호를 위한 기술적·정책적 차원의 제안이라고 할 수 있겠다.163

161 권영준, “개인정보자기결정권과 동의제도에 대한 고찰”, 2015 NAVER privacy White Paper, 2016, 130면.

162 권영준, “개인정보자기결정권과 동의제도에 대한 고찰”, 2015 NAVER privacy White Paper, 2016, 130면.

163 심우민, “사물인터넷 개인정보보호의 입법정책”, 헌법학연구 제21권 제2호, 2015, 26-27면.

115

설계 및 분석 단계에서의 프라이버시 지향적 설계는 IoT환경 내 사업자, 서비스 제공자 등 이해관계

자들의 책임성을 강화하는 것으로써 이용자의 프라이버시를 보호하는 기능 및 설정으로 시스템이나

제품을 설계하여야 한다. 이때 IoT서비스 제공에 필요한 최소한의 정보만을 획득할 수 있도록 마련하

며, 사용자가 동의한 기간과 서비스 범위에서만 정보를 사용하여 개인의 민감한 정보를 보호할 수 있

도록 한다. 즉 프라이버시 보호는 네트워크 및 시스템 기술과 결합되어야 하며, 정보주체 스스로 프

라이버시를 보호하기 위한 초기값 설정이 가능하도록 인터페이스 기능을 제공해야 한다. 또한 개인

정보가 목적에 비해 필요이상으로 수집되지 않도록 해야 하며, 서비스를 제공하기에 앞서 개인정보

제공여부, 사용범위, 정보의 신뢰성 등에 대한 전체적인 영향평가를 도입할 필요가 있다.164 그 외에

도 관리적인 관점에서 기업 내부에 개인정보보호를 담당할 직원을 지정하는 것도 중요하다.165

2) IoT 프로세스별 프라이버시보호 지향적 설계

① 센싱

IoT기기에서 센싱되는 정보 중 대표적인 것들을 다음의 표와 같이 정리하였다.

기기 정보

커넥티드카 차량 위치정보, 주행일자, 주행거리, 운행시간 등

스마트헬스 이름, 나이, 성별, 위치정보, 심박동수 등

스마트냉장고 신용카드번호, 계좌번호, 사진, 일정 정보

스마트미터 고객번호, 전력사용량, 전기요금, 관리번호, 수용가 번호, 사용시간

[표2] IoT기기에서 센싱되는 정보166

위의 표에서 볼 수 있듯이 IoT기기가 센싱과정에서 프라이버시의 침해우려가 있는 데이터를 상당히

많이 수집하게 된다. IoT환경뿐만 아니라 어떠한 환경에서든 처음부터 존재하지 않는 개인식별정보

를 훗날 생성할 수는 없다. 그러므로 IoT기기가 센싱하는 최초 단계에서부터 개인정보 중에서도 특히

개인식별정보는 가능하면 수집하지 않도록 설계하는 것이 매우 중요하다. 특히 IoT환경에서는 정보

주체의 사전 동의나 수집통지가 매우 어려운 만큼 개인식별정보는 수집하지 않도록 설계를 하는 것

이 프라이버시보호 지향적 설계가 된다. 이는 이미 데이터 최소화의 원칙을 통해 규범적으로 반영되

어 있으며, 데이터 최소화의 원칙은 양적인 측면뿐만 아니라 질적인 측면에서 더 중요하므로 개인식

164 김혜리/홍승필/박수민, 개인정보보호 가이드라인 연구: 사물인터넷 환경의 개인정보 보호 사례 연구분석을 통해,

보안공학연구논문지 Vol.13, No.2, 2016, 164면.

165 이대희, 사물인터넷 활용과 개인정보 보호, 경영법률 제25권 제3호, 2015, 384면.

166 스마트기기 보급 확대에 따른 개인정보보호방안 연구 – 사물인터넷 환경을 중심으로, 개인정보보호위원회 연구보고서, 2014. 12,

141-166면.

116

별정보는 불가피한 경우를 제외하고는 수집하지 않도록 설계하여야 한다.

② 네트워킹

프라이버시보호 지향적 설계는 정보시스템뿐만 아니라 이용의 기반이 되는 네트워크 인프라 등도

포함이 되어야 한다.167 특히 네트워킹과정에서는 새로운 개인정보가 생성되는 것이 아니라 센싱된

정보를 단지 전송하는 것이므로 정보보안이 중요하다. 즉 보안을 유지하여 관계없는 제3자의 데이터

접근을 통제하여 개인정보의 불법유출을 방지하는 설계가 핵심이 된다. 따라서 네트워킹에서의 프

라이버시보호 지향적 설계는 개인정보보호와 정보보안이 서로 교차하는 지점이 될 것이다.

③ 데이터베이스

IoT기기가 센싱과정에서 불가피하게 개인정보를 수집하는 경우에 개인정보의 개별 데이터를 데이터

베이스화하는 과정에서도 프라이버시보호 지향적 설계는 중요하다. 특히 개인정보주체의 동의 확보

를 위한 기술적 절차를 마련하는 것과 필요 최소한도만의 데이터를 축적하는 데이터 최소화의 원칙

은 반드시 준수되어야 한다. 또한 빅데이터 처리를 위해서는 개인정보의 철저한 비식별처리가 필요

하며 클라우드컴퓨팅에서는 데이터 국외 이전을 적절히 통제할 수 있는 기술적인 수단이 설계시점

부터 마련되어야 한다. 그리고 프라이버시보호 지향적 설계는 개인정보의 라이프사이클 전반에 걸

쳐 보장되어야 하므로168 개인정보가 포함된 데이터의 철저한 파기도 설계시점에 확보되어야 한다.

④ 데이터 마이닝

빅데이터기술의 핵심인 데이터 마이닝은 IoT에서도 중요한 요소로 활용될 것이므로 데이터 마이닝에

대해서도 프라이버시보호 지향적 설계가 이루어져야 한다. 구체적으로는 데이터 마이닝을 통한 재식

별화 금지와 정보취득 목적 외 데이터 마이닝 허용 여부가 명확히 사전에 확정되어야 있어야 한다.

⑤ 프로파일링

데이터 마이닝과 달리 자동화된 방식으로 특정 개인의 행태 및 성향을 파악하고 추적하는 행위, 즉

프로파일링은 기술적으로 설계시점부터 금지하는 방안을 모색할 필요가 있으나, 이를 원천적으로

금지하는 경우 오히려 이용자의 편의성을 저해할 수 있는 측면도 있기 때문에 현실적인 기술상황 등

을 고려하여 그 예외 범위를 모색하는 과정이 필요할 것이다.169

167 최혜선, 개인정보보호의 신경향-프라이버시 중심 디자인(privacy by Design)을 중심으로, 일감법학 제24권, 2013, 309면.

168 최혜선, 개인정보보호의 신경향-프라이버시 중심 디자인(privacy by Design)을 중심으로, 일감법학 제24권, 2013, 316면.

169 이우권, 사물인터넷(IoT)에서 개인정보보호의 이슈와 대안, 한국자치행정학보 제29권 제4호, 2015. 겨울, 225면.

117

3) 프라이버시 지향적 설계의 법적 규율

프라이버시 지향적 설계에 대해서는 2016년 EU일반정보보호규칙 제25조에 비록 간단하지만 규

율되어 있다. EU일반정보보호규칙 제25조 제1항170은 개인정보를 최소화하는 설계나 익명처리와

같은 적절한 기술적·관리적 조치를 취하도록 규정하고 있다. 그러나 이는 IoT를 염두에 두고 만들어

진 규정은 아니고 이른바 개인정보 최소수집의 원칙을 반영한 정도에 머무는 것으로 평가할 수 있다.

IoT에서 사물간의 통신에 의한 개인정보의 활용은 최초 수집단계에 그치는 것이 아니라 거의 전 과정

에서 이루어지고 있으므로 위에서 살펴본 IoT전개과정 모두에서 프라이버시 지향적 설계가 행하여

져야 실효성있는 방안이 될 수 있다.

이러한 프라이버시 지향적 설계를 우리 법제에 도입하자는 주장171도 있으나, 강제보다는 연성적인

인증제도 등을 통해서 구현하는 것이 적절하다고 생각된다. 특히 산업계가 자율적으로 적용할 규범

을 정하는 자율규제에 의하는 것이 바람직하며, 프라이버시 지향적 설계에 바탕을 둔 자율규제에 의

하여 기업은 법적 책임을 회피하거나 정부로부터의 압력을 회피할 수 있으며 궁극적으로는 기업이

수집하는 정보의 대상인 개인과의 신뢰관계를 구축할 수 있다는 주장172은 경청할 만하다.

라. 비식별 조치를 통한 활용

1) 비식별 조치의 적극적 활용

IoT환경에서 개인정보의 침해 위험성에 대한 가장 대표적인 대응방안으로는 비식별 조치를 드는 것

이 일반적이다. 특히 개인정보의 개념 범주를 명확히 하는 것보다는 현 시점에서 예측가능한 식별과

170 Data protection by design and by default

1. Taking into account the state of the art, the cost of implementation and the nature, scope, context and purposes

of processing as well as the risks of varying likelihood and severity for rights and freedoms of natural persons

posed by the processing, the controller shall, both at the time of the determination of the means for processing

and at the time of the processing itself, implement appropriate technical and organizational measures, such

as pseudonymisation, which are designed to implement data-protection principles, such as data minimization,

in an effective manner and to integrate the necessary safeguards into the processing in order to meet the

requirements of this Regulation and protect the rights of data subjects.

2. The controller shall implement appropriate technical and organizational measures for ensuring that, by default,

only personal data which are necessary for each specific purpose of the processing are processed. That obligation

applies to the amount of personal data collected, the extent of their processing, the period of their storage and

their accessibility. In particular, such measures shall ensure that by default personal data are not made accessible

without the individual's intervention to an indefinite number of natural persons.

3. An approved certification mechanism pursuant to Article 42 may be used as an element to demonstrate

compliance with the requirements set out in paragraphs 1 and 2 of this Article.

171 이우권, 사물인터넷(IoT)에서 개인정보보호의 이슈와 대안, 한국자치행정학보 제29권 제4호, 2015. 겨울,� 227면.

172 이대희, 사물인터넷 활용과 개인정보 보호, 경영법률 제25권 제3호, 2015, 384-385면; 이 견해는 그럼에도 불구하고 자율규제가

IoT환경에서 개인정보를 보호하는 완벽한 해결책이 되는 것은 아니므로, 보다 효과적인 자율규제를 위해서는 개인정보를 보호하기

위한 입법에 의한 집행이 뒷받침되어야 한다고 덧붙이고 있다.

118

비식별 정보의 범주를 기준으로 비식별 정보에 대한 조치와 동의 규정을 논의하는 것이 더 적절하다

는 구체적인 판단까지도 제안하고 있다.173

2) 재식별의 위험 통제

사물인터넷 시대의 개인정보 보호에 있어서는 개인정보자기결정권을 근간으로 한 보호체계를 유지

하기 어려워지게 되었다. 즉 사물인터넷은 기본적으로 다소 자동화된 방식의 자율적·지능적 정보처

리가 전제되어 있는데, 당초 개인 식별 가능성을 가지지 않았거나 비식별화(또는 익명화) 처리가 된

정보가 이후 처리과정에서 분석 및 재조합을 통해 식별 정보로 변화될 가능성이 높기 때문에, 개인

식별 가능성(개인정보) 개념을 전제로 구성된 현재의 규제체계를 그대로 원용하기 힘들어진다.174 즉

재식별의 위험이 IoT환경에서는 더욱 높아지게 된다.

이와 같이 정보 그 자체로서는 특정 개인에 대한 식별성이 없다고 하더라도 빅데이터의 분석을 통하

여 특정 개인의 정보로서 의미를 다시 찾을 가능성이 기술적으로라도 조금이라도 존재한다면 이는

언제든 개인정보의 재식별로서 프라이버시를 침해할 위험성이 있으므로 재식별의 가능성이 있다는

전제 하에 이용자의 개인정보보호 대상이 될 수 있다고 주장하는 견해도 있다.175 그러나 개인의 비식

별정보를 수집 분석하고 다른 정보와 결합하여 새로운 개인정보를 생성해 내는 경우에는 당해 2차

개인정보를 개인정보라고 하여 무조건적으로 보호대상으로 삼으면 빅데이터 산업의 발전을 기대할

수 없어서 바람직하지 않다는 상반된 견해176도 있다.

마. 참조와 저장의 규범적 구분

현행 개인정보 보호법을 비롯한 관련 법규는 개인정보의 수집과 저장을 특별히 구분하지 아니하고 있

다. 개인정보 보호법은 수집은 곧 저장을 의미한다. 그러나 개인정보가 일시적으로 사용되고 바로 삭제

되는 경우라면 개인정보의 침해의 위험성이 크지는 않다. 개인정보 침해의 유출이 일시적이고 그 정보

의 양도 많지 않기 때문이다. 그러나 개인정보가 저장되어 있으면 개인정보침해의 위험도 지속적이고

또 유출되는 정보의 양도 매우 많을 수 있으며 제3자에 의한 유출의 위험도 증가한다. 그러므로 개인정

보가 저장되는 순간부터 그 침해가능성은 높아지고 개인정보주체의 프라이버시에 대한 위협도 증가한

다.177 이러한 차이를 현행 개인정보보호 관련 법규는 고려하지 않고 있다.

173 신혜원/지성우, 사물인터넷(IoT) 환경에서의 개인정보보호에 관한 규범적 고찰, 법과 정책 제22집 제2호, 제주대학교

법과정책연구소, 2016. 8, 448면.

174 심우민, “사물인터넷 개인정보보호의 입법정책”, 헌법학연구 제21권 제2호, 2015, 21면.

175 이도국, 사물인터넷(Internet of Things)민사법적 문제점에 대한 소고, 한양법학 제26권 제2집(통권 제50집), 2015. 5, 228-

229면.

176 손영화, 빅데이터 시대의 개인정보 보호방안, 기업법연구 제28권 제3호(통권 제58호), 2014. 9, 382면.

177 융합시대에 적합한 LBS사업분류 및 규제체계 연구(방송통신정책연구 연구보고서), 2011, 방송통신위원회, 221면.

119

이러한 규율태도는 전통적인 개인정보수집환경에서는 타당할 수 있겠으나, IoT환경에서도 적절한가는

의문이다. IoT에서 상당수의 정보는 저장을 위한 것이라기보다는 일시적인 참조를 위한 센싱의 결과라

고 할 것이며, 앞서 살펴본 바와 같이 불특정 다수의 개인정보를 기계적으로 수집하는 것이 불가피하고

또한 개인정보가 포함된 정보라도 필수호환적으로 통신을 하지 않을 수 없다. 따라서 적어도 IoT환경에

서는 개인정보의 수집을 단순히 일시적으로 활용되고 삭제되는 ‘개인정보참조’와 지속적이고 장기적인

활용을 하는 ‘개인정보저장’으로 구분하는 것을 고려할 필요가 있다. 그리하여 개인정보참조의 경우에

는 활용을 보다 강조하고, 개인정보저장은 보호에 치중하는 정책적 방향으로 나아가는 것이 적절하다

고 생각된다.

7. 법령 정비 방안

가. 개인정보 보호법

1) 개인정보의 개념

개인정보 보호법을 비롯한 현행 법률에서 개인정보를 개념정의하면서 개인정보에 “해당 정보만으로

는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있을 것을 포함한다”라는

명문을 규정하고 있는 점에 대해 많은 비판이 제기된 바 있다. 특히 빅데이터나 IoT와 같은 새로운 환

경에서 이 개념정의 규정에 대한 논란은 격화되고 있다. 구체적으로는 이와 같이 개인정보의 개념을

넓게 해석하면 활용이 어렵다는 견해와 빅데이터 분석기술의 발전으로 인하여 빅데이터 환경에서의

개인정보의 개념은 개인식별의 단초가 될 수 있는 개인에 관한 모든 정보를 의미하는 것으로 지금보

다 개인정보의 개념을 확장하여야 한다는 견해178나 아예 개인식별성을 고려하지 않는 정도로 개인

정보의 개념을 확대해서 개인정보보호에 집중해야 한다는 견해179까지도 제기되고 있다. 이와는 반

대로 독특하게도 개인정보는 데이터베이스화 되었을 때 개인정보보호의 필요성이 극대화 되므로 데

이터베이스화 되지 않은 개인정보에 대해서는 낮은 규제가 도입되어야 한다는 주장도 있다, 이 견해

에 따르면 같은 개인정보라 할지라도 대량으로 자동화 또는 구조화 된 파일링시스템에 속한 개인정

보에만 법이 엄격하게 적용되도록 규정할 필요가 있으나, 우리 개인정보 보호법은 개인정보파일이

라는 개념을 사용하여 개인정보와 개인정보파일을 동일하게 취급하고 있으므로, 개인정보파일과 구

별되는 개인정보 데이터베이스에 대한 특별한 취급이 필요하다고 한다.180

178 성준호, 빅데이터 환경에서 개인정보보호에 관한 법적 검토, 법학연구 제21권 제2호, 2013, 320면;문재완, 개인정보의 개념에 관한

연구, 공법연구 제42집 제3호, 2014. 2, 72면에서 재인용.

179 장주봉, 개인정보의 의미와 보호범위, 법학평론 제3권, 2012, 65면; 문재완, 개인정보의 개념에 관한 연구, 공법연구 제42집 제3호,

2014. 2, 72면에서 재인용.

180 김현경, 개인정보의 개념에 대한 논의와 법적 과제, 미국헌법연구 제25권 제2호, 2014. 8, 157-158면.

120

개인적인 견해로는 개인정보의 유형에 대해서 살펴본 바와 같이 ‘개인식별정보’와 ‘개인특성정보’로

구분할 수 있으며, ‘개인특성정보’는 설령 그 자체로는 특정인을 식별할 수 없는 개인정보일지라도 개

인정보로서의 성격을 인정할 필요가 있다. 만약 개인정보의 개념을 엄격하게 그 자체로 특정인을 식

별할 수 있는 ‘개인식별정보’만으로 한정한다면 ‘개인특성정보’는 보호범위에서 벗어나게 되는 문제

가 있다. 따라서 다른 정보와 결합하여야만 특정 개인을 식별할 수 있는 ‘개인특성정보’를 보호하기

위해서는 현행 법률처럼 극히 모호한 ‘쉽게’라는 수식어나 매우 추상적인 ‘결합’이라는 용어의 사용은

불가피하다고 할 것이다. 이러한 개념정의 불명확성의 문제는 우리나라에만 국한된 것이 아니라, 살

펴본 바와 같이 EU나 일본에서도 모두 극복하지 못한 문제이다. 결국 개인정보의 정의가 어느 정도

불완전하고, 포괄적이고, 불명확한 것은 현대 정보사회에서 불가피한 일이다.181

현재와 같은 다소 모호하고 추상적인 개인정보의 개념정의는 불가피하다고 하더라도 해석론을 통해

이를 좀 더 명확히 구체화할 수 있다. 특히 “다른 정보와 쉽게 결합하여”의 의미를 다소 제한적으로

해석하는 것이 중요하다. 개인정보의 개념정의에서 ‘쉽게’라는 결합용이성을 도외시하고 마치 결합

가능성만 있으면 모두 개인정보에 포함되는 것으로 해석하는 것은 적절하지 않다. 그리고 ‘쉽게’라는

결합용이성은 객관적이고 기술적인 관점이 아니라 철저히 주관적이고 경제적으로 합리적인 관점에

서 평가되어야 한다.

그러므로 원칙적으로 타인이 보유한 정보는 쉽게 결합할 수 없다고 판단되어야 하고 자신이 보유하

고 있는 정보와 결합가능할 때에만 ‘쉽게’ 결합할 수 있다고 결합용이성이 인정되어야 한다. 또한 자

신이 보유하고 있는 정보라고 해서 모두 ‘쉽게’ 결합할 수 있다고 인정해서도 곤란하다. 결합용이성

은 결합가능성이 아니므로 ‘경제적으로 합리적인 결합’이 가능해야 하며, 과도한 비용이 소요되는 고

도의 기술이 동원되어야만 결합할 수 있다면 설령 결합이 기술적으로는 불가능하지는 않더라도 ‘경

제적으로 합리적인 결합’이라고 해석되어서는 곤란하다. 결론적으로 현행 개인정보의 개념정의를

수정하는 것은 필요하지 않지만, ‘자신이 보유한 다른 정보와 경제적으로 합리적인 결합이 가능한 경

우’에만 개인정보로서의 성격을 인정하도록 해석론을 통해 명확히 함으로써 개인정보개념의 불필요

한 범위확장을 방지하고 이로써 IoT환경에서의 개인정보의 활용을 보다 활성화할 수 있을 것이다.

2) 동의기반 활용원칙의 실효성 재검토

개인정보의 활용을 위해서는 정보주체의 동의를 필요로 한다는 동의기반 활용원칙은 매번 일일이

개인정보를 수집할 때마다 사전에 동의를 구하여야 하므로 IoT환경의 본질과 거리가 멀기 때문에 이

용자가 IoT환경을 위하여 제공하여야 하는 개인정보의 범위와 제공받는 서비스의 범위를 비교하여

그에 상응하는 필수적인 동의만을 사전에 구할 수 있고 그 밖에 특별히 민감한 정보 등의 수집이 필

181 문제완, 개인정보의 개념에 관한 연구, 공법연구 제42집 제3호, 2014. 2, 72면.

121

요한 경우에는 별도로 이용자로부터 개별 동의를 구하는 방법을 제안하는 견해가 있다.182 또는 개인

정보를 유형별로 분석하여 개인을 식별할 수 있는 정보나 민감한 정보에 해당하지 않는다면 특정한

컴퓨터나 기기와 연계될 수 있는 정보의 수집, 이용 및 제3자 제공이 원칙적으로 허용되고, 상품 또

는 용역의 제공을 위하여 필요한 범위 내에서 개인정보를 수집하고 그 범위 내에서 이용하는 것에 대

해서는 원칙적으로 동의가 불필요한 것으로 명확하게 규정하는 것이 타당하다는 견해도 있다.183 또

헌법상 개인정보자기결정권의 대상이 되는 인격주체성과 관계있는 개인정보에 대해서는 지금처럼

정보주체의 권리를 보장하는 것이 타당하고 그 중에서도 특히 민감정보는 더욱 보호되어야 하지만,

인격주체성과 관련이 없는 개인정보는 원칙적으로 정보주체의 동의가 없어도 자유롭게 유통되도록

하되, 고유식별정보에 대한 보호는 현행 법제와 같은 수준을 유지해야 한다는 견해도 있다.184

생각해보건대 개인에게 최소한 사물인터넷에 의한 데이터 처리에 대하여 판단할 기회는 제공해야

할 것이고, 광범위한 정보수집 자체가 IoT의 속성으로서 개인정보침해의 위험은 더 높아지게 된다.

그러므로 위와 같은 방안을 채택하면 헌법상의 권리인 개인정보자기결정권을 인정하는 취지에 어긋

날 수 있으며, 기업과 소비자 간에 정보의 불균형이 심화되고 IoT기기에 따라서는 동의를 용이하게

얻을 수 있는 경우도 있기 때문에 동의기반 활용원칙을 배제하는 것은 적절하지 않다.185 또한 간과해

서는 아니될 현재의 제약조건은 현행 동의기반 활용원칙을 대체할 다른 개인정보 활용체계가 아직

완벽하게 확립되지도 못한 상태이므로 그러한 규범적 틀의 변화에 대한 사회적 합의에 이르기에는

요원하다는 점이다.

개인정보의 동의기반 활용원칙을 IoT환경에도 그대로 적용함으로써 발생하는 문제들은 앞서 제시한

개인정보의 제한적인 해석론을 통한 활용범위 확장과 더불어 후술하는 공개된 개인정보의 자유활용

범위 확대, 개인정보의 참조와 저장의 구분을 통한 참조활용의 제한완화 및 기술적인 프라이버시 지

향적 설계를 통해 어느 정도 개인정보의 활용을 후원하는 방향으로 해소될 수 있을 것이다.

3) 수범주체의 정비

개인정보 보호법 제2조의 개인정보처리자 개념정의는 “업무를 목적으로 개인정보파일을 운용하기

위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말

한다”라고 규정하고 있다. 앞서 지적한 바와 같이 이러한 개념정의가 IoT환경에 잘 부합하는 것인가

에 대한 의문이 제기된다. 사물인터넷 서비스의 확대로 인해 새로운 유형의 유사 개인정보처리자로

서 역할을 하는 자들이 있을 수 있고, 대표적인 예로 여가생활로 구글 글래스를 착용하여 주변 사람

의 개인정보를 무의식적으로 또 자동적으로 수집하고 있는 경우에 구글 글래스 착용자를 개인정보

182 이도국, 사물인터넷(Internet of Things)민사법적 문제점에 대한 소고, 한양법학 제26권 제2집(통권 제50집), 2015. 5, 231면.

183 장주봉, 개인정보의 의미와 보호범위, 법학평론 제3권, 2012, 58-59면.

184 문재완, 개인정보의 개념에 관한 연구, 공법연구 제42집 제3호, 2014. 2, 73면

185 이대희, 사물인터넷 활용과 개인정보 보호, 경영법률 제25권 제3호, 2015, 391면.

122

처리자라고 할 수 있는가의 의문을 제기한다.186

IoT환경에서는 IoT기기가 센싱한 정보를 다른 IoT기기에 전달하는 과정에서 IoT기기의 소유자나 이

용자가 해당 정보를 모두 완전히 인식하는 것을 기대하기 어렵다. 예를 들어 스마트카가 스마트하이

웨이를 주행하는 과정에서 만나게 되는 수많은 스마트카 같은 다른 IoT기기들과 주고받는 대규모 정

보들을 모두 운전자가 인식할 수는 없다. 또한 개인정보 보호법상의 개인정보처리자는 “업무를 목적

으로” 하는 자이므로 업무와 관계없는 일상생활이나 소비생활을 위해 IoT기기를 활용하는 자는 개인

정보처리자 개념에 포섭될 수 없다. 결국 개인정보 보호법의 개인정보처리자라는 개념을 통한 규율

이 IoT환경에서는 한계가 있을 수밖에 없다.

IoT환경에서의 이러한 한계를 극복하기 위해서는 개인정보 보호법의 수범주체인 개인정보처리자에

“업무를 목적으로 하지 아니하더라도 IoT기기를 보유한 자”를 단서로 추가시키는 법개정이 가장 명

확한 해결방법이라고 할 수 있다. 다만 그러한 법개정은 입법절차를 거치기 위한 상당한 시간과 노력

이 소요되기 때문에, 그 때까지는 해석론을 통해서 어느 정도 IoT환경에 맞도록 이론적으로 해결할

필요가 있다. 미국의 일부 견해는 IoT기기가 마치 특정한 상황에서 합리적인 인간처럼 작동하는 한도

에서는 IoT기기를 현실적인 대리인의 행위처럼 다루어야 한다는 견해187도 제기되고 있다. 그러나 대

리인으로 간주하지 않고 IoT기기와 같은 자동화된 장치의 작동 결과를 직접 기기의 보유자에게 귀속

시키는 것이 바람직하다. 자동화된 장치의 작동결과를 보유자에게 귀속시키는 논리적 근거로는 무

엇보다도 그 작동이 결국에는 인간의 의사, 즉 보유자의 포괄적인 의사에 환원되기 때문이다. IoT기

기의 보유자는 IoT기기의 작동을 완전히 구체적으로 결정하는 것은 아닐지라도, 자신의 의지를 실현

하기 위해 IoT기기를 이용하고 IoT기기가 작동할 수 있도록 프로그래밍이라는 대강의 조건을 설정하

는 의사로 환원된다. IoT기기는 인간의 프로그래밍 없이는 어떠한 작동도 불가능하다. 결국 IoT기기

보유자는 자신의 의지를 실현하고자 하는 구체적인 의사를 프로그래밍을 통해서 구현하였기 때문에

그 의사의 최종적인 발현형태인 IoT기기 작동에 구속되어야만 한다.188 이러한 해석론을 통해서 IoT

기기의 보유자에게 IoT기기의 작동결과에 대한 법적 책임을 귀속시킬 수 있겠지만, 그럼에도 불구하

고 “업무를 목적으로”라는 명문은 법개정을 통하지 아니하고 업무의 범위를 확장하는 해석론으로 해

결하기에는 여전히 다소 어려움이 있다.

4) 비식별 조치의 법적 규율

설령 비식별 조치되어 개인을 식별할 수 없으므로 개인정보로 다루어지지 않는 정보도 다량의 다른

186 스마트기기 보급 확대에 따른 개인정보보호방안 연구 – 사물인터넷 환경을 중심으로, 개인정보보호위원회 연구보고서, 2014. 12,

241면.

187 Stacy-Ann Elvy, Contracting in the Age of the Internet of Things: Article 2 of the UCC and Beyond, 44 Hofstra Law

Review, 2016, p.865.

188 오병철, 전자거래법(전정판), 법원사, 2000, 153-154면 참조.

123

정보를 집적하여 다시 재식별하는 것이 가능하므로, 개인정보냐 아니냐의 여부로 엄격하게 차별하

여 규율하는 현행 법질서로서는 무기력해지는 한계가 있을 수밖에 없다는 지적189이 제기된다. 그리

고 비식별 조치에 대해서는 IoT환경에서 중요한 의미를 갖는다는 점을 인식하면서, 다만 기술발전

에 따라 재식별의 가능성이 높아질 수 있으므로 이를 보완하기 위하여 비식별화를 위한 기술적 전략

과 절차적인 안전장치를 함께 적용할 필요성이 있으며, 이를 위하여 정보를 비식별화하기 위한 기술

발전에 상응하는 합리적인 조치를 취하고 재식별화하지 않을 것임을 공개적으로 다짐하고 데이터를

공유하는 제3자에 대해서는 재식별하지 않도록 계약에 의하여 조치를 취하는 것이 필요하다는 주장190도 있다. 그러나 이와 달리 현행 가이드라인에서는 적정하게 비식별 조치가 된 정보는 더 이상 특

정 개인을 알아볼 수가 없으므로 개인정보가 아닌 것으로 추정하여 비식별 조치가 완벽히 이루어졌

다고 하더라도 개인정보로서의 성격이 없어지는 것이 아니라 여전히 개인정보라고 인정은 하고 있

으나, 정보주체의 동의 없이도 일단 자유롭게 활용할 수 있도록 길을 열어두고 있다.

현행 가이드라인과 같이 비식별 조치를 취하는 경우에 개인정보로서의 성격은 그대로 유지하지만

개인정보가 아닌 것으로 추정하고, 만약 개인정보라는 반증이 이루어진다면 그에 따른 책임을 부담

하도록 하여, 비식별 조치가 행하여진 이후 반증에 따른 위험부담을 전적으로 비식별 조치를 취한 주

체에게 부담시키는 것이 적절한가는 의문이다. 설령 비식별 조치를 취하여 개인정보가 아닌 것으로

추정되어 유용하게 활용하고 있더라도, 언제든지 기술발달에 따라서는 식별가능성이 생겨서 개인정

보로 돌변할 수 있다는 불안감속에 있게 된다. 그러므로 비식별 조치된 정보도 개인정보이지만 비식

별 조치에 대한 적절한 평가가 이루어진 후에는 동의 없이 활용이 제한적으로 가능하다고 법적으로

명확하게 인정하고, 적어도 훗날 반증이 되더라도 이미 이루어진 기존의 활용에 대해서는 면책해주

는 것이 바람직하다고 생각된다. 구체적으로는 비식별 조치가 된 정보도 여전히 개인정보로서의 성

격은 인정하되 다만 일정한 범위의 활용에 있어서는 위험성이 저감통제 되었으므로 정보주체의 동

의를 요하지 않는다고 하는 것이 논리적으로 타당하다. 특히 비식별 조치가 이루어져서 특정인을 식

별할 수 없다면 원칙적으로는 개인정보로서의 성격을 잃는다고 보는 것이 개인정보의 개념정의와

부합한다. 그리고 비식별 조치가 된 정보에 대한 반증의 위험을 전적으로 비식별정보 활용주체에게

지우는 것은 IoT환경에 상당한 장애가 될 것이므로, 비식별 조치된 정보에 대해서는 엄격한 통제절차

를 지우고 이를 준수하는 한 기존의 활용에 대해 면책을 인정하는 것이 적절할 것이다. 이러한 비식

별 조치된 개인정보에 대한 규율은 현재는 가이드라인이라는 연성법적 차원에 머무르고 있으나, 좀

더 사회적 합의가 도출되면 개인정보 보호법과 정보통신망법에서 명문으로 규율할 필요가 있을 것

이다.

189 Swaroop Poudel, Internet of Things: Underlying Technologies, Interoperability, and Threats to Privacy and Security,

Berkeley Technology Law Journal, Vol.31, 2016, p.1015.

190 이대희, 사물인터넷 활용과 개인정보 보호, 경영법률 제25권 제3호, 2015, 393면.

124

5) 공개된 개인정보의 법적 취급

개인정보의 의도적 노출인 공개는 정보주체의 표현의 자유의 측면에서도 고찰할 필요가 있다. 공개

된 개인정보를 둘러싼 논란은 최근 ‘공개한 개인정보는 그 공개 당시에 정보주체가 일정한 범위 내에

서 동의하였다고 간주할 수 있다’는 취지의 대법원의 판결에 의해 어느 정도 활용의 여지를 얻게 되

었다. 이 판결은 IoT환경이 처한 기존의 동의기반 활용원칙이라는 장애물을 극복할 수 있는 가장 중

요한 해석론적인 시사점을 제공한다고 평가하고 싶다. IoT기기 간에 주고받는 자동화된 센싱과 통신

과정에서는 상대방 정보주체가 사전에 IoT기기에 입력해 놓은 정보만을 센싱하여 수집할 수 있는 것

이다. IoT기기의 위치정보와 같은 경우는 예외겠지만, 상대방이 사전에 입력하지 아니한 개인정보는

근원적으로 센싱하여 수집하는 것이 불가능하다. IoT기기 간에 전달되는 정보에 설령 개인정보가 포

함되어 있다고 하더라도 이는 정보주체가 스스로 공개될 것을 전제로 입력한 것이므로 IoT환경에서

정상적인 교신과정에 수집되는 것이라면 이는 공개된 정보로 정보주체의 동의를 추가로 요하지 않

는다고 판례이론을 적용할 수 있을 것이다. 보다 세부적으로 살펴보면, 특정한 정보주체가 불특정한

타인의 IoT기기가 일정한 조건을 충족하면 자신의 IoT기기로부터 자신의 개인정보를 센싱해서 수집

할 것을 알면서도 개인정보를 입력하였다면, 이는 의도적인 공개라고 평가할 수 있다. 뿐만 아니라

IoT기기에 개인정보를 입력하면서 동시에 상대방 IoT기기와 구체적으로 어떠한 상황을 형성하였을

때 자신의 IoT기기로부터 개인정보를 센싱해서 수집할 수 있는가도 결정하거나 또는 인식할 수 있다.

그러므로 스스로 결정하거나 인식한 상황 하에서 스스로 입력한 개인정보를 타인의 IoT기기가 센싱

해서 수집한다면 이는 완전히 의도적으로 공개한 정보를 목적 범위내에서 수집하는 것이라고 규범

적으로 평가할 수 있고, 판례이론에 따른다면 정보주체의 추가적인 별도의 사전 동의는 요하지 아니

한다. 이로서 IoT환경에서의 동의기반 활용원칙의 장애는 거의 대부분 해소될 수 있을 것이라 생각된

다.

보다 구체적으로 생각해보건대, IoT환경에서 정보주체가 의도적으로 IoT기기에 입력한 정보를 공개

된 개인정보라고 인정하기 위한 요건으로서 ①개인정보의 전달이 사전에 알려져 있을 것, ②개인정

보의 전달 목적이 IoT활용을 위한 것, ③개인정보를 수집하는 IoT기기가 일정한 범위로 제한될 것, ④

이러한 사실을 인식하고 개인정보주체가 개인정보를 IoT기기에 입력할 것을 제시할 수 있을 것이다.

이러한 요건을 충족한 경우에는 공개된 개인정보로서 IoT에 참여하는 기기나 사람들 사이에서 별도

의 추가적인 정보주체의 사전 동의 없이 자유롭게 정보를 교환할 수 있게 하여야 할 것이다.

6) 개인정보의 파기

개인정보 파기 단계에서도 무조건적인 파기보다는 장기간 보관하는 것이 정보주체의 이익이나 공공

의 이익을 위해 필요한 경우에는 보관이 가능하도록 합리적인 방안이 마련되어야 할 필요가 있다는

125

지적이 있다.191 그러나 IoT환경에서는 개인정보의 파기는 철저하게 준수되어야 할 필요가 있다. 후

술하는 바와 같이 개인정보의 수집을 참조와 저장으로 구분하여, 일시적인 참조는 개방적으로 활용

하고 그리고 장기적인 저장은 엄격하게 보호를 해야 한다면 개인정보의 파기는 현재의 규율수준 이

상으로 강조되어야 할 것이다. 따라서 IoT환경이라고 해서 개인정보의 파기에 대한 규율을 완화할 필

요는 없다.

나. 정보통신망법

1) IoT에서의 정보통신망법의 중요성

개인정보 보호법과 정보통신망법과의 관계에서 정보통신망법의 경우에 개인정보 보호법과 거의 유

사한 규정을 두고 있는 실정임에도 불구하고 개인정보 보호법의 적용이 배제된다는 것은 문제이고,

개인정보 보호법의 제정으로 공공기관의 개인정보보호에 관한 법률은 폐지되었으나 정보통신망법

상의 개인정보보호에 관한 규정은 그대로 존치되고 있기 때문이라고 주장하면서 2012년 EU개인정

보보호규칙안 제89조에서 2002년 전자통신분야지침의 해당조항을 삭제하기로 하였다는 점을 주

목할 필요가 있다고 비교법적 논거를 제시하면서 정보통신망법의 폐지를 주장하는 견해192가 있다.

그러나 논의과정을 거쳐 최종적으로 제정된 EU일반정보보호규칙 제95조에서는 2002년 전자통신

분야지침을 폐지하는 것이 아니라 추가적인 의무를 부과하지 않는다고 규정함으로써 EU일반정보보

호규칙과 2002년 전자통신분야지침은 병존하게 되었으므로 비교법적 논거의 설득력도 상당히 약

화되었다.

현재와 같이 개인정보 보호법과 정보통신망법이 병존하는 체계를 유지한다면, 오히려 IoT환경에서

정보통신망법의 중요성은 기존의 IT환경 보다 훨씬 더 강조되어야 한다. IoT는 사물과 사람이 인터넷

을 통해 연결되는 것이므로 IoT환경의 규율은 개인정보 보호법의 정보통신망상에서의 특별법적인

지위에 있는 정보통신망법이 우선적으로 적용되게 된다. 그러므로 정보통신망상의 개인정보보호에

특화된 정보통신망법이 IoT환경에서는 매우 중요한 법규범으로 자리매김하게 될 것이다.

2) 수범주체의 정리

개인정보 보호법이 개인정보처리자를 수범주체로 하는 것과 유사하게 정보통신망법은 정보통신서

비스제공자를 수범주체로 하고 있다. 그러므로 개인정보 보호법과 마찬가지로 여하히 정보통신서비

스제공자의 개념에 IoT기기를 반영할 것인가의 문제가 공통된다. 이에 대해서는 개인정보 보호법에

서 제시한 바와 같이 “영리를 목적으로 하지 아니하더라도 IoT기기를 보유한 자”를 단서로 추가시키

191 김혜리/홍승필/박수민, 개인정보보호 가이드라인 연구: 사물인터넷 환경의 개인정보 보호 사례 연구분석을 통해,

보안공학연구논문지 Vol.13, No.2, 2016, 163면.

192 함인선, 개인정보처리와 관련한 법적 문제, 경제규제와 법 제26권 제1호, 2013. 5, 169면.

126

는 법개정과 더불어 해석론상으로도 IoT기기의 보유자는 IoT기기의 작동 결과에 따른 책임을 부담

한다는 논리를 적용할 필요가 있다. 다만 정보통신망법상의 정보통신서비스제공자의 개념정의에서

“영리를 목적으로”라는 제한요소는 이를 삭제하는 법개정을 하지 아니하고 해석론으로만 해결하는

것은 한계가 있을 것이다.

3) 수집과 저장의 구분

불특정 다수의 개인정보를 기계적으로 수집하는 것이 불가피하고 또한 개인정보가 포함된 정보라도

필수호환적으로 통신을 하지 않을 수 없다. 따라서 필수호환적 개인정보에 대해서는 불특정 다수라

고 하여도 별도의 동의 없이 수집할 수 있는 방안을 모색할 필요가 있다. 이를 위해서는 IoT환경에서

는 개인정보의 수집을 단순히 일시적으로 활용되고 삭제되는 ‘개인정보참조’와 지속적이고 장기적인

활용을 하는 ‘개인정보저장’으로 구분하는 것을 고려할 필요가 있다.

기술적인 관점에서도 IoT특성상 정보의 장기적인 저장을 위한 보조기억장치의 비중은 PC에 비교하

면 사소한 정도이고 이는 주로 IoT기기가 아닌 별도의 서버에서 행하여진다. IoT기기에서 센싱된 정

보의 대부분은 전력이나 메모리 등의 자원의 효율적 배분을 위해 일시적으로 메모리에서 처리되어

기능하고 삭제될 것이다. 개인정보보호의 관점에서는 센싱된 정보가 배후의 특정주체의 서버에 장

기적으로 저장되는 것이 문제이며, 서버는 IoT단말기기에 비하면 장기적인 저장을 위한 보조기억장

치가 매우 큰 비중을 차지하므로 IoT단말기와 서버를 엄격히 구분하는 것이 법규에 반영되어야 한다.

규범적으로도 일시적 참조와 장기적 저장으로 구분하여 다루는 것이 적절하다. 개인정보보호 침해

의 위험도의 측면에서도 일시적 참조는 낮은 위험을 그러나 장기적 저장은 높은 위험을 수반한다. 따

라서 IoT기기가 수집하는 정보가 1차적인 목적 달성 후 자동으로 파기 되는 일시적 참조는 법적 규율

에서 배제하되, 1차적인 목적 달성 후 향후 활용을 위해 보존되는 장기적 저장은 현행법과 같은 강한

법적 규율이 요구된다. 결론적으로 ‘개인정보참조’의 경우에는 정보주체의 동의 없이도 일시적으로

참조하고 삭제하는 것을 허용하되, ‘개인정보저장’은 설령 IoT환경일지라도 정보주체의 사전 동의 없

이는 불가능하도록 하여 동의기반 활용원칙의 기조를 유지하면서도 개인정보의 활용을 촉진하는 방

향으로 발전시켜야 할 것이다.

4) 프로파일링

프로파일링의 허용여부에 관해서는 정보통신망법의 새로운 입법론을 제기하는 견해가 주목할 만 하

다. 정보통신망법 제23조 및 제24조 등 관련 규정에서 프로파일링을 수행하고자 하는 경우에는 관

련 사실을 이용자에게 반드시 알리고 동의를 받아야 한다는 내용과 함께 동의 없이 프로파일링이 가

능한 예외사유를 명확히 규정하는 방안을 제시하고, 또한 프로파일링을 거부할 권리와 관련해서는

동의철회권을 규정하고 있는 정보통신망법 제30조에 프로파일링이 허용되는 경우가 아닌 한 이용

127

자가 언제든지 동의철회권 및 거부권을 가진다는 내용을 규정할 것을 제시하고 있다.193

프로파일링에 대해서는 EU일반정보보호규칙 제22조에서 정보주체는 자기에게 관한 법적 효과를

가져오거나 크게 영향을 미치는 경우에는 자동화된 프로파일링만에 의거한 결정에 따르지 않을 권

리를 가져야 한다고 하여 프로파일링을 완전히 금지하는 것이 아니라 거부권을 인정하고 있다. 즉 정

보주체가 프로파일링을 통하여 본인에게 미칠 수 있는 악영향에 대한 고지를 받을 수 있도록 개인정

보처리자에게 고지의무를 신설하고 아울러 이를 반대하는 정보주체에게 프로파일링 거부권을 인정

하는 방향으로 법제의 개선이 필요하지만, 이와 같이 개정하는 경우 실질적으로 개인정보처리자가

프로파일링 거부권과 제공하는 서비스의 해지나 탈퇴를 연동시킬 가능성이 매우 높아서 프로파일

링 거부권을 형해화 시킬 수 있으므로 프로파일링 거부권 행사에도 불구하고 기본적인 서비스의 제

공은 계속되도록 개인정보처리자에게 영업의 자유를 침해하지 않는 한도에서 서비스제공의무를 부

과하거나 또는 프로파일링 거부권 행사에 대한 합리적인 예외를 설정할 필요가 있다.194 또한 프로파

일링을 자체를 금지하거나 또는 자유롭게 허용할 것이 아니라 개인정보자기결정권의 차원에서 관련

정보의 처리정지요구권 및 개인정보 활용에 대한 동의철회권을 통해 보다 세밀화하는 방안을 모색

할 필요가 있다는 주장195도 설득력이 있다.

프로파일링에 대한 법적 규율이 정보통신망법에는 아직 존재하고 있지 않으며 IoT환경의 도래가 예

상보다 조기에 실현될 수도 있으므로 이에 대한 입법론적 대비는 필요하다. 프로파일링은 IoT기기가

실시간으로 작동하고 대응하는데 필수적인 정보와는 달리 서버에 저장된 이후의 활용이므로 개인정

보자기결정권의 실효적인 보호가 필요하다. 그러므로 프로파일링의 사전 고지를 통한 명시적인 동

의를 요한다고 할 것이고, 프로파일링에 대한 거부권과 동의권을 부여하고 또 동의한 이후에도 언제

든지 동의를 철회할 수 있는 동의철회권을 명문으로 정보통신망법에 신설하는 것을 전향적으로 검

토할 필요가 있을 것이다.

5) 프라이버시 지향적 설계의 인증 제도

IoT와 같은 기술집약적 환경에서는 법규범과 같은 경성법뿐만 아니라 코드와 같은 연성적인 기술도

프라이버시보호에 효과적이다. 그러므로 IoT의 프라이버시 지향적 설계의 중요성이 강조되고 있다.

특히 IoT환경에서는 밀접하게 연결된 IoT기기 간에 매우 빠른 속도로 복잡한 네트워크 통신에서는

속도와 무선주파수가 필수적인데, 대체로 정보보안이나 프라이버시보호는 이러한 통신속도나 무선

주파수와는 상충적인 관계에 놓이게 된다.196 그러므로 빠른 속도와 적절한 무선주파수를 유지하면

193 심우민, “사물인터넷 개인정보보호의 입법정책”, 헌법학연구 제21권 제2호, 2015, 31면.

194 최경진, 빅데이터와 개인정보, 성균관법학 제25권 제2호, 2013. 6, 214면.

195 심우민, “사물인터넷 개인정보보호의 입법정책”, 헌법학연구 제21권 제2호, 2015, 30면.

196 Paul Strarrett, Internet of Things and Big Data, 12 No.3 ABA SciTech Law, 2016, p.32.

128

서도 프라이버시를 지향할 수 있는 기술적 설계가 중요하다고 강조되고 있다. 다만 프라이버시 지향

적 설계를 법제에 도입하여 강제하는 것은 적절하지 않고 IoT기기나 아키텍쳐에 프라이버시 지향적

설계가 이루어졌는가를 인증하는 제도를 법률에 규율하여 이를 권장하는 것이 타당할 것으로 생각

된다. 이를 위해 정보통신망법에 프라이버시 지향적 설계의 인증과 관련된 세부적인 규정을 신설하

는 것을 입법론적으로 제안한다.

6) 국외이전

정보통신망법 제63조는 정보통신서비스제공자는 이용자의 개인정보를 국외로 이전하여 활용하려

면 이용자의 동의를 받도록 규정하고 있다. 또 동의를 받으려면 상당히 상세한 내용을 미리 고지하도

록 규정하고 있다. 따라서 IoT서비스를 제공하는 자가 구글이나 애플, 아마존 등과 같은 해외 글로벌

사업자인 경우에 이용자의 개인정보를 IoT기기의 센싱을 통해 수집한 후에 해외의 클라우드컴퓨팅

서버에 저장하려면 이러한 절차를 밟도록 강제하는 것이 현실적으로 가능한가의 문제가 있을 수 있

다. 그러나 앞서 제안하였듯이 IoT기기의 센싱을 통해 얻은 개인정보를 일시적으로 기기에서 참조하

는 것은 정보주체의 사전 동의 없이 가능하지만, 장기적인 저장은 적어도 현재보다는 강한 보호가 필

요하다는 점에서 정보통신망 제63조를 폐기하는 것은 결코 적절하지 않다. IoT기기들은 센싱을 통해

얻은 정보를 일시적으로 참조하는 것으로서 대부분의 서비스 제공이 가능하게 될 것이고, 스마트 그

리드와 같이 그렇지 않은 경우는 계약관계를 통해 개인정보의 제공과 장기적인 저장이 이미 합의되

어 있을 가능성이 높다. 그러므로 IoT환경이라고 해서 개인정보를 반드시 국외에 저장할 필요가 있는

것은 아니다. 특히 독점적 지위를 갖는 소수 글로벌 사업자들이 이른바 ‘글로벌 스탠더드’를 주장하면

서 우리나라 법규범의 적용에 대해 부정적인 입장을 표명하지만, 본래 ‘글로벌 스탠더드’라는 법규범

이 별도로 국제사회의 승인을 받아 존재하는 것은 아니다. 그럼에도 불구하고 특정 기업의 영업활동

에 지장이 된다는 이유로 정체가 불명한 ‘글로벌 스탠더드’를 주장하여 우리나라 현행 법률의 적용에

대해 반감을 표시하는 것은 설득력이 없다고 할 것이다. 따라서 정보통신망법 제63조는 현재 대로

유지하거나, 아니면 일시적인 참조의 경우를 고려하여 이용자의 정보를 국외에 제공하여 보관하는

경우로만 국한하는 정도로 개정하는 것이 적절하다고 생각한다.

다. 위치정보보호법

1) IoT에서의 위치정보보호법의 중요성

IoT기기 중에는 상당한 수가 이동성이 있는 IoT기기이며, 그 대표적인 것이 스마트카나 스마트폰이라

고 할 수 있다. 이동형 IoT기기는 IoT환경을 구성함에 있어 거의 필수적으로 위치정보를 필요로 하게

된다. 특히 현행 위치정보보호법은 순수한 사물위치정보도 규율하고 있으므로 위치정보를 필요로 하

는 이동형 IoT기기라면 설령 특정개인과 연관이 되는가의 여부와 관계없이 모두 위치정보보호법의 적

129

용을 받게 된다. 그러므로 위치정보보호법은 IoT환경에서 중요성이 현재보다 더 부각될 것이다.

2) 단순사물위치정보의 규율

위치정보보호법에 대한 가장 많은 비판은 단순한 사물의 위치정보까지도 소유자의 동의를 얻어야만

수집할 수 있다는 규정에 대한 것이다. 위치정보보호법은 개인정보 보호법이나 정보통신망법과 달

리 수범자를 ‘누구든지’로 규정하여 모든 사람이 다 수범자가 되어 그 범위가 매우 넓다. 또 위치정보

보호법 제15조 제1항은 누구든지 소유자의 동의를 얻지 아니하고 당해 이동성 있는 물건의 위치정

보를 수집·이용 또는 제공하여서는 아니된다고 규정하고 있다. 현재의 IT환경에서도 단순사물위치

정보의 수집을 이와 같이 엄격히 제한하는 것은 문제인데, 향후 IoT환경에서는 더 심각한 장애요소로

작용하게 될 것이다.

개인의 위치정보가 포함되지 않은 단순 사물의 위치정보는 개인의 위치정보를 포함하지 않아 프라

이버시 침해 가능성이 없으므로 현행 법령에서 보호하는 위치정보에는 개인위치정보만을 포함하고

사물위치정보는 포함하지 않더라도 개인정보보호에 문제가 없다. 따라서 IoT관련 산업의 진흥을 위

하여 현행 법령 내에서의 위치정보를 개인위치정보만으로 개념의 재정의가 입법적으로 필요하다.197

3) 수집과 저장의 구별

위치정보의 보호대상을 개인위치정보로 축소하더라도 여전히 정보주체의 사전 동의라는 동의기반

활용원칙은 그대로 존재하게 된다. 앞서 살펴본 바와 같이 IoT환경에서 정보주체의 사전 동의를 얻는

것이 용이하지 않으므로, 개인위치정보도 IoT서비스를 위해 일시적으로 참조하는 경우에는 정보주

체의 동의를 얻지 않아도 되도록 개방하되 장기적으로 저장하는 경우에는 엄격히 정보주체의 사전

동의를 얻도록 위치정보보호법을 개정할 필요가 있다.

라. 새로운 입법의 모색

IoT관련 개인정보 쟁점을 입법으로 해결하기에는 아직은 성급하고 산업계의 자율규제를 유도하는 것

이 바람직하다는 주장198이 제기되고 있다. 특히 구체적인 판단에 있어서는 현재의 다소 포괄적인 개인

정보보호 규제의 틀을 일정부분 해석을 통해 유지해가면서, 기술 및 현장 전문성이 있는 의견들을 유연

하게 점진적으로 수용해 갈 수 있는 연성법적 접근이 필요하며, 연성법적 접근방식을 통해 법적용상 가

장 실효적이고 수용성 있는 관행과 원칙들을 형성·정립해가면서 필요한 사항들의 경우에는 단계적·점

197 융합시대에 적합한 LBS사업분류 및 규제체계 연구(방송통신정책연구 연구보고서), 2011, 방송통신위원회, 157면.

198 이대희, 사물인터넷 활용과 개인정보 보호, 경영법률 제25권 제3호, 2015, 395면.

130

진적으로 개인정보 보호법제에 수용해 나갈 필요가 있다고 한다.199 그러므로 현 단계에서 IoT환경을 고

려한 새로운 특별법의 입법은 시기상조이고 개인정보 보호법과 정보통신망법, 위치정보보호법 등의 일

부 개정으로도 충분하다고 생각된다. 다만 지리적인 제한이 있는 개별 국가의 입법으로는 IoT환경에서

는 한계가 있을 수밖에 없으므로 IoT환경에서 개인정보보호의 중요한 핵심 원칙을 국제적인 차원에서

명확히 수립하려는 노력이 요구된다는 지적200은 매우 의미가 있다고 생각된다.

8. 결론

개인정보와 관련된 현재의 모든 규범적 논의는 결국 개인정보의 보호와 활용을 어떻게 조화롭게 규율

할 것인가로 귀결되고 있다. 특히 IoT환경에서는 그 필요성이 더욱 증대될 것이라는데 의심의 여지가

없다. 현재와 같은 엄격한 개인정보보호 법규가 IoT, 빅데이터, 클라우드 등 신규 IT산업의 발전에 장애

요소로 작용하는 것에 대한 우려가 짙게 드리워져 있다. 따라서 국가권력은 알려진 위협이 증대하는가

그리고 아직 알려지지 않은 위험이 새롭게 등장하는 것은 아닌가를 예의 주시하는 정도에 그치고 산업

과 시장의 자율규제에 맡기라는 주장도 어느 정도 설득력은 있다.201 그러나 IoT환경에서의 의미있는 해

결책을 위해서는 적절한 법적 규율과 그에 뒷받침되는 기술적 해결이 결합된 협업이 필요하다고 할 것

이다.202 따라서 법규범의 보다 적극적인 역할을 찾아보는 노력은 그 자체로 가치있는 것이다.

IoT환경을 고려하여 개인정보의 보호와 활용의 규범적 균형점은 다음과 같이 정리할 수 있다. 우선 개

인정보의 개념을 명확하게 축소하자는 입법론은 개인정보 개념의 필연적인 모호함으로 인해 가능하지

도 않고 또 개인특성정보가 보호범위에서 벗어날 위험이 있어서 적절하지 않다. 또 동의기반의 개인정

보 활용체계를 수정하자는 주장 역시 개인정보보호가 형해화될 위험이 있고 아직은 사회적인 합의가

도출된 대안체계가 부존재한다는 점에서 당장 목전의 개인정보보호와 활용의 조화를 이루는 균형점으

로서는 마땅하지 않다. 다만 현재의 개인정보 보호법은 양자적 구조와 직접적 구조(개인정보주체-개인

정보처리자)의 한계를 가지고 있으므로 다자적 구조와 간접적 구조(개인정보주체-IoT기기-플랫폼-개

인정보처리자)로의 발전을 규율하기에 한계가 있는 것은 숨길 수 없는 사실이다. 따라서 어느 정도의 해

석론적 및 입법론적 제안이 없이는 그 한계를 극복하기 어렵다고 본다.

IoT환경에서 개인정보의 활용이 부각되는 상황을 전제로 한 균형점을 위해서는 현재의 보호범위

를 다소 축소하는 방향으로의 전개가 부득이 하다. 그 구체적인 방안으로는 첫째로 개인정보의 개념

199 심우민, 사물인터넷 개인정보보호의 입법정책, 헌법학연구 제21권 제2호, 2015. 6, 24면.

200 Rolf H. Weber, Internet of Things – New security and privacy challenges, Computer Law & Security Review vol.26,

2010, p.30.

201 Swaroop Poudel, Internet of Things: Underlying Technologies, Interoperability, and Threats to Privacy and Security,

Berkeley Technology Law Journal, Vol.31, 2016, p.1021.

202 Jan Henrik Ziegeldorf/Oscar Garcia Morchon/Klaus Wehrle, Privacy in the Internet of Things, Security and

Communication Network, 2013, p.11.

131

을 해석론으로서 명확하게 설정하는 것이 필요하다. 따라서 개인정보 개념상의 결합용이성이라는 다

소 모호한 원칙은 그대로 유지하되, 자신이 보유한 정보만을 대상으로 주관적인 관점에서 경제적으

로 합리적인 결합이 가능할 때에만 결합용이성을 인정하도록 해석론을 좁게 설정하여야 할 것이다.

둘째로 대법원 판례가 새롭게 인정하는 바와 같이 공개된 개인정보를 공개목적 범위 내에서는 묵시적

동의가 있는 것으로 간주하여 추가적인 동의를 필요로 하지 않는다는 원칙을 개인정보 보호법이나 정

보통신망법에서 명확히 할 필요가 있다. 이로서 개인정보의 동의기반 활용원칙이 IoT환경에서 갖는 한

계점을 상당부분 극복할 수 있을 것이다.

셋째로 비식별화를 통한 활용이 적극적으로 모색되어야 한다. 보호와 활용의 균형점은 현재로서는 비

식별 조치가 최선이라는데 어느 정도 사회적인 합의가 있다고 생각된다. 이를 반영하여 이미 비식별화

와 관련된 가이드라인이 제정되어 있는 만큼 이를 개인정보 보호법이나 정보통신망법으로 적극 수용하

여 IoT환경에도 적용할 수 있도록 하여야 할 것이다. 특히 비식별 조치후 평가를 통해 검증된 경우에 현

재와 같이 개인정보가 아닌 것으로 추정하는데 그치지 않고 적극적으로 개인정보가 아닌 것으로 간주

해서 성실하고 진지한 비식별 조치의 노력이 있는 경우에는 책임으로부터 자유롭게 해줄 필요가 있다.

넷째로 개인정보의 수집 개념을 세분화하여 개인정보를 입수하여 일시적으로 참조하고 즉시 파기하는

‘개인정보참조’와 개인정보를 수집하여 저장한 후 장기적으로 활용하는 ‘개인정보저장’으로 구분하여

개인정보의 일시적인 참조에 불과한 경우에는 과감하게 정보주체의 사전 동의 없이도 가능하도록 하

되, 개인정보의 지속적이고 장기적인 저장인 경우에는 설령 IoT환경일지라도 정보주체의 사전동의라는

현재의 개인정보의 동의기반 활용원칙 기조를 유지하여야 할 것이다.

끝으로 프라이버시 지향적 설계를 기술적으로 관철할 필요가 있다. IoT의 경우 각 단계별로 프라이버시

지향적 설계가 이루어져야 효과가 있을 것이다. 설령 비식별 조치를 통해서도 활용을 증진할 수 있다고

하지만, 비식별 조치는 매우 복잡한 과정과 검증 평가과정 그리고 관리적 기술적 조치가 수반되어야 하

며, IoT에서는 개별적인 개인정보가 반복적으로 다수의 사람과 사물에 전달되는 것이 전제이므로 대규

모의 비식별 조치는 한계가 있을 수밖에 없다. 따라서 최초의 제공과 수집 단계에서 개인정보로서의 성

격을 탈각시키는 것이 최적이다. 왜냐하면 센싱과정에서 개인정보가 포함되지 아니한다면 향후에 생성

시킬 수는 없기 때문이다. 이는 존재하는 개인정보를 비식별 처리하는 경우에 여전히 재식별에 대한 우

려가 상존하는 것과는 차원이 완전히 다른 것이다. 이와 같이 IoT환경에서는 법률이나 명령과 같은 경

성규범보다는 기술적인 코드가 더 효과적인 개인정보보호 수단이 될 수 있으므로, 프라이버시 지향적

설계가 관철되도록 인증시스템과 같은 지원 및 진흥정책을 법제도적으로 추진해야 할 것이다.

132

참고문헌

1. 국내문헌

강창호/김종일/황우근/김동구, IoT와 IoE 위한 보안기술동향 및 요구조건, 한국통신학회

종합 학술발표회 논문집(하계), 2014. 6.

구태언, IoT 시대에 바람직한 개인정보 보호 정책, Telecommunication Review 제25권 제1호,

2015. 2.

권영준, “개인정보자기결정권과 동의제도에 대한 고찰”, 2015 NAVER privacy White Paper, 2016.

개인정보보호를 위한 정책방안 연구(정책연구보고서), 정보통신부, 1999.

개인정보의 비식별화 처리가 개인정보보호에 미치는 영향에 관한 연구, 개인정보보호위원회 보고서,

2015. 12.

김민호, 개인정보처리자에 관한 연구, 성균관법학 제26권 제4호, 2014. 12.

김영훈/양준근/김학범, M2M/IoT의 동향과 보안위험, 정보보호학회지 제24권 제6호, 2014. 12.

김현경, 개인정보의 개념에 대한 논의와 법적 과제, 미국헌법연구 제25권 제2호, 2014. 8.

김혜리/홍승필/박수민, 개인정보보호 가이드라인 연구: 사물인터넷 환경의 개인정보 보호 사례

연구분석을 통해, 보안공학연구논문지 Vol.13, No.2, 2016.

김호원, 사물인터넷환경에서의 보안/프라이버시 이슈, TTA Journal Vol.153, 2014. 5.

류창한/서민석, 스마트카 특허분쟁 네트워크분석을 통한 특허분쟁예방에 관한 연구,

한국자동차공학회 논문집 제23권 제3호, 2015. 5.

문상일, 빅데이터와 개인정보보호, 경제법연구 제14권 제2호, 2015. 8.

문재완, 개인정보의 개념에 관한 연구, 공법연구 제42집 제3호, 2014. 2.

미래창조과학부, 사물인터넷[IoT] 정보보호 로드맵, 2014. 10.

민경식/홍승필, IoT환경의 주요국 개인정보보호 정책 비교분석, 2015 정보통신설비

학술대회 논문집, 2015. 8.

박노형, 개인정보 보호법과 정보통신망법의 관계 분석, 안암법학 제41권, 2013.

박미사, 사물인터넷 활성화를 위한 법제도 개선방안, Internet & Security Focus, 2014.

박훤일/윤덕찬, 스마트그리드 사업과 개인정보보호-스마트그리드 거버넌스의 제안, 기업법연구

제26권 제2호. 2012.

방송통신위원회/한국인터넷진흥원, 빅데이터 개인정보보호 가이드라인 해설서, 2015. 2.

개인정보 비식별 조치 가이드라인, 국무조정실 외, 2016.

서희석, 빅데이터 활용을 위한 일본 개인정보 보호법의 개정논의와 자율규제, KISO Journal Vol.16.

2014.

133

손대림, 스마트카/자율주행에서 스마트폰의 역할, 한국통신학회지 제33권 제4호, 2016. 4.

손승우/박장혁/문수미, 사물인터넷 사업자를 위한 정보보안 법률의 개선 방안 연구, 법학연구 제57권

제1호(통권87호), 2016. 2.

손영화, 빅데이터 시대의 개인정보 보호방안, 기업법연구 제28권 제3호(통권 제58호), 2014. 9.

스마트기기 보급확대에 따른 개인정보보호방안 연구 – 사물인터넷 환경을 중심으로,

개인정보보호위원회 연구보고서, 2014. 12.

신혜원/지성우, 사물인터넷(IoT) 환경에서의 개인정보보호에 관한 규범적 고찰, 법과 정책 제22집

제2호, 제주대학교 법과정책연구소, 2016. 8.

심우민, 사물인터넷 개인정보보호의 입법정책, 헌법학연구 제21권 제2호, 2015. 6.

안병하, “독일 인격권 논의의 근래 동향”, 한독법학 제17호, 2012.

윤상오/김기환, 빅데이터 시대의 한국과 영국간 개인데이터 활용정책 비교 연구,

한국정책과학학회보 제20권 제1호, 2016, 3.

오병철, 전자거래법(전정판), 법원사, 2000.

오병철, 슬링박스의 place-shifting에 대한 법적 규율, 정보법학 제12권 제1호, 2008.

오병철, 인격적 가치 있는 온라인 디지털정보의 상속성, 가족법연구 제27권 제1호, 2013.

유비쿼터스 프라이버시 보호종합대책 수립(연구보고서), 한국정보보호진흥원, 2006.

융합시대에 적합한 LBS사업분류 및 규제체계 연구(방송통신정책연구 연구보고서),

방송통신위원회, 2011.

이경규, 정보권력의 견제와 균형, 인하대학교 법학연구 제17집 제4호, 2014. 12.

이대희, 사물인터넷 활용과 개인정보 보호, 경영법률 제25권 제3호, 2015.

이도국, 사물인터넷(Internet of Things)민사법적 문제점에 대한 소고, 한양법학 제26권

제2집(통권 제50집), 2015. 5.

이우권, 사물인터넷(IoT)에서 개인정보보호의 이슈와 대안, 한국자치행정학보 제29권 제4호, 2015.

이은우, 국회토론회 자료집, 2015.8, 9면; 개인정보의 비식별화 처리가 개인정보보호에 미치는

영향에 관한 연구, 개인정보보호위원회 보고서, 2015. 12.

이진천, 사물인터넷(IoT)과 만물인터넷(IoE), 설비저널 제45권 제3호, 대한설비공학회, 2016. 3.

이창범, 개인정보 보호법, 법문사, 2012.

장주봉, 개인정보의 의미와 보호범위, 법학평론 제3권, 2012.

정남철, 개인정보 보호법제의 법적 문제점 및 개선과제, 법조 제700호, 2015.

정상조, “위치기반서비스 규제에 관한 연구”, 2015 NAVER privacy White Paper, 2016.

정준현, 개인정보의 보호와 이용의 균형을 위한 법적 문제와 개선방향, 법학논총 제38권 제1호,

단국대학교 법학연구소, 2014.

정진도, 사물인터넷(IoT)와 만물인터넷(IoE), 국토 제403호, 국토연구원, 2015. 5.

134

차상육, 빅데이터 환경과 프라이버시의 보호, IT와 법연구 제8권, 2014. 2.

차상육, 빅데이터의 활용에 따른 개인정보 보호법제의 충돌과 과제, 한양법학 제27권

제1집(통권 제53집), 2016. 2.

최경진, 빅데이터와 개인정보, 성균관법학 제25권 제2호, 2013

최경진, 빅데이터 · 사물인터넷 시대 개인정보 보호법제의 발전적 전환을 위한 연구, 중앙법학

제17집 제4호, 2015. 12.

최혜선, 개인정보보호의 신경향-프라이버시 중심 디자인(privacy by Design)을 중심으로,

일감법학 제24권, 2013.

한국정보화진흥원, 초연결사회를 견인할 IoT 데이터화(Datafication)전략, IT&Future Strategy

제1호, 2015. 3.

한은영, 일본 개인정보 보호법 개정의 배경 및 개정안의 주요 내용, 정보통신방송정책 제26권

제13호(통권581호), 2014. 7.

한은영, 일본 개인정보 보호법의 개정 내용 및 평가, 정보통신방송정책 제27권

제17호(통권608호), 2015. 9.

함인선, 개인정보처리와 관련한 법적 문제, 경제규제와 법 제26권 제1호, 2013. 5.

함인선, 「EU개인정보 보호법」, 마로니에, 2016.

허성욱, 한국에서 빅데이터를 둘러싼 법적 쟁점과 제도적 과제, 경제규제와 법 제7권 제2호

(통권 제14호), 2014. 11.

해외 개인정보보호 집행체계 및 개인정보보호 주요 동향조사, 개인정보보호위원회, 2012.

홍완식, 스마트그리드 입법에 관한 고찰, 법학연구 제45집, 2012. 2.

2. 외국문헌

David Z. Bodenheimer, The Internet of Things’ Swelling Technology Tsunami and Legal

Conundrums, SciTech

Lawyer, Spring, 2016.

Executive Office of the President, Big Data : Seizing Opportunities, Preserving Values, 2014.

FTC Staff Report, Internet of Things, 2015. 1.

H. Michael O’Brien, The Internet of Things, 19 No.12 Journal of Internet Law, 2016.

Jan Henrik Ziegeldorf/Oscar Garcia Morchon/Klaus Wehrle, Privacy in the Internet of Things,

Security and Communication Network, 2013.

Lucy L. Thomson, Insecurity of the Internet of Things, 12 No.3 ABA SciTech Law, 2016.

Opinion 8/2014 on the on Recent Developments on the Internet of Things, 2014. 9.

Paul Strarrett, Internet of Things and Big Data, 12 No.3 ABA SciTech Law, 2016.

135

Rolf H. Weber, Internet of Things – New security and privacy challenges, Computer

Law & Security Review vol.26, 2010

Stacy-Ann Elvy, Contracting in the Age of the Internet of Things: Article 2 of the UCC and

Beyond, 44 Hofstra Law Review, 2016

Swaroop Poudel, Internet of Things: Underlying Technologies, Interoperability, and Threats

to Privacy and Security, Berkeley Technology Law Journal, Vol.31, 2016.

日下部�眞治,�個人情報保護法の初めての實質的改正, Dispute Resolution Group Newsletter,

2016. 4.

BGH NJW 2000, 2195, 2197.

136

저자소개

오병철 교수

현) 연세대학교 법학전문대학원 교수(법학박사, 공학박사)

독일 Mannheim대학교 객원학자 (1997~1998)

국립 경상대학교 법과대학 교수 (1998~2004)

오스트레일리아 국립대학교(ANU) 객원교수 (2000)

미국 University of Washington 객원교수 (2012)

인터넷광고분쟁조정위원회 조정위원

대검찰청 디지털포렌식 자문위원

사법시험/변호사시험/행정고시 시험위원

국가정보화정책수립 유공 정보통신부장관 표창 (2003)

개인정보보호 유공 방송통신위원회 위원장 표창 (2016)

EU GDPR의 분석 및 시사점

가천대학교 법과대학 최경진 교수

NAVER Privacy White Paper

138

목차

요약문 145

1. 머리말 149

2. GDPR 제정 이전의 개인정보보호를 위한 EU의 노력 150

가. CoE Convention 108 150

나. 정보보호지침(95/46/EC) 150

다. US-EU Safe Harbor Framework 151

라. EU-US Privacy Shield Framework 152

마. 개인정보보호를 둘러싼 주요 판결 153

3. General Data Protection Regulation 155

가. GDPR 입법과정 155

나. GDPR 초안 156

다. GDPR 유럽의회 수정안 167

라. GDPR 170

4. 우리 법제에의 시사점 174

가. GDPR과 우리 법제의 비교 174

나. 우리 법제에의 시사점 179

5. 맺음말 182

참고문헌 184

139

요약문

1. 연구 개요

- 개인정보보호 영역에서 세계 경제에 많은 영향을 미치는 미국과의 대척점에 서 있다고 평가받는

EU의 법제화 과정과 그 결과물인 GDPR을 살펴보는 것은 향후 우리 법제가 나아가야 할 방향을

가늠하는 때에 많은 시사점을 줄 수 있음

- 이러한 인식 하에 이 보고서에서는 GDPR이 제정되기 이전의 EU에서의 개인정보보호 규율을 위

한 법제도적인 노력을 살펴보고, GDPR의 입법과정에서의 논의와 최종적인 GDPR의 주요 규정에

대한 소개 및 분석, 이를 바탕으로 한 우리 개인정보보호법제와의 비교와 바람직한 법제 개선을

위한 시사점을 제시하였음

2. GDPR 제정 이전의 개인정보보호를 위한 EU의 노력

● CoE Convention 108

- Convention 108은 협약 당사국에게 이 협약에 따른 기본원칙을 국내법에서 반영하도록 의무를

부여하면서, 그러한 기본원칙으로서 정보의 질에 관한 원칙, 특수 유형의 정보보호(민감정보)에

관한 원칙, 정보보안, 정보주체를 위한 부가적인 세이프가드, 예외 및 제한 설정시 법률유보의 원

칙, 제재 및 구제 등을 규정

- 국가간 정보이전을 보장하기 위한 규정도 두고 있음

- 유럽평의회는 Convention 108의 현대화를 위하여 2013년에 특별위원회를 설치하여 개정작업

을 추진 중

● EU 정보보호지침(95/46/EC)

- 개인정보 수집 및 처리를 위한 원칙으로서 (a) 공정하고 적법한 처리, (b) 수집 목적의 특정성과

정당성, (c) 수집 및 처리의 목적 관련성, (d) 최신 정보의 유지를 위한 합리적인 조치, (e) 개인정

보 보관의 방식과 시간의 적절성 등의 기준을 설정하고 있다(제6조). 이러한 원칙은 최근 입법된

GDPR의 개인정보처리기준에서도 그대로 따르고 있음

- EU 정보보호지침이 콘트롤러(controller)의 개인정보 처리를 적법하게 하는 인정하는 경우로서

는 (a) 정보주체의 명백한(unambiguous) 동의가 있는 경우, (b) 정보주체가 당사자인 계약의 이

행에 필요한 경우, (c) 콘트롤러의 법적 의무 준수에 필요한 경우, (d) 정보주체의 중대한 이익의

보호에 필요한 경우, (e) 공공의 이익을 위해 필요한 경우 등을 규정하고 있다(제7조). 또한 특별한

보호대상으로서 민족 또는 인종적 기원, 정치적 의견, 종교 또는 철학적 신념, 노동조합 회원 자격

140

을 드러내는 개인정보, 건강 또는 성생활에 대한 개인정보와 같은 민감정보에 대한 처리는 원칙적

으로 금지. 예외적으로 정보주체가 명시적(explicit) 동의를 하는 등의 경우에는 개인정보의 처리

가 가능

- 개인정보의 국가간 이전의 경우에 EU 회원국에서 비회원국으로 개인정보를 이전하려고 하는 경

우, 원칙적으로 그 비회원국이 적절한(adequate) 수준의 개인정보 보호를 보장할 경우에만 그 국

외이전이 가능하도록 규정. 이처럼 적절성 평가 기준을 충족해야 하는 것이 기본원칙이지만, 적절

성 평가 기준에 미달하더라도 ‘구속력 있는 기업규칙(Binding Corporate Rules, BCRs)' 등에 따

라 EU 회원국들의 국민의 개인정보를 자유롭게 EU회원국 외로 이전할 수 있는 예외가 인정

● US-EU Safe Harbor Framework

- 미국은 EU 정보보호지침이 정하는 제3국으로의 정보이전에 관한 적절성 기준을 만족시키기 위해

EU와의 사이에서 Safe Harbor 원칙을 설정하여, 이 원칙을 준수하는 미국기업은 EU 정보보호지

침에 따른 적절성을 충족하는 것으로 보아 EU와의 사이에서 개인정보의 국가간 이전을 허용하고

자 US-EU Safe Harbor Framework을 추진

● EU-US Privacy Shield Framework

- Privacy Shield의 세부적인 원칙들은 기존의 Safe Harbor 제도와 비교해서 정보주체의 권리를

확대하고 정보보호를 강화하는 방향으로 제정

- 정보를 관리하는 기업들에게 더 강한 의무를 부과하면서, Privacy Shield 체제에 가입한 기업들이

Privacy Shield 원칙을 준수하지 않을 경우에는 제재 조치를 받게 되고 동시에 Privacy Shield 명

단에서 삭제됨

- 특히 제3자로의 개인정보의 재이전(onward transfer) 요건들을 엄격하게 함

- EU와 미국 사이에 논란이 되었던 EU 회원국 국민의 개인정보에 대한 미국 정보기관의 접근을 규

율하기 위하여 미국정부가 정보에 접근할 경우에 명확한 안전장치를 제공하고 투명성 의무를 이

행할 것을 제시

- 더 나아가 EU 회원국 국민들이 개인정보 침해로 인한 구제를 받을 수 있도록 하였으며, 특히 미

국 상무부 내에 옴부즈맨(ombudsman) 제도를 도입해서 EU 회원국 국민에 대한 정보활동

(national intelligence) 영역에서의 보상 또는 구제 제도를 설치

● 개인정보보호를 둘러싼 주요 판결

- 유럽사법재판소는 잊힐 권리(right to be forgotten)와 관련하여 삭제권을 명확히 하는 판결과

미국과 EU 사이의 Safe Harbor 협정을 무효화 하는 판결을 내림

141

3. EU 일반정보보호규정(General Data Protection Regulation)

● GDPR은 지침(Directive)이 아니라 규정(Regulation)이기 때문에 각국 정부에 의한 별도의 이행

입법이 필요하지 않으며, 2년간의 유예기간을 거쳐 2018년 5월 25일 발효됨

● GDPR은 173개항의 전문과 본문 99개의 조문으로 구성되어 있다. 본문은 총 11개 장으로 구성

● GDPR은 개인정보의 처리와 관련한 자연인의 보호 및 개인정보의 자유로운 이동에 관하여 규정

하는 것을 목적으로 함

● GDPR은 EU 회원국의 정보주체에게 유상이든 무상이든 재화나 용역을 제공하는 활동을 처리하

거나 EU 내에서의 EU 회원국 정보주체의 활동의 모니터링과 관련한 활동을 처리하는 EU 밖의 정

보 콘트롤러나 프로세서에게도 적용됨

● GDPR이 발효되면 EU 회원국의 별도 이행입법 없이도 EU 전역에서 단일 법규정이 적용된다.

GDPR에 따라 회원국은 개인정보 관련 민원을 접수 및 처리하고 행정 제재를 과하기 위한 독립된

감독기구(Supervisory Authority)를 설치하게 되며, 각 회원국의 감독기구는 다른 감독기구와

상호 지원 및 공동 활동을 수행하면서 협력

● 기존의 제29조 작업반(Article 29 Working Party)을 대체하는 유럽정보보호위원회(European

Data Protection Board (EDPB), GDPR 제68조)가 각 감독기구를 조정하는 역할을 수행

● GDPR의 개인정보 보호수준의 강화의 주요 수단 중의 하나는 동의 요건을 강화한 것이다. GDPR

에 따른 유효한 동의는 수집되는 개인정보가 이용되는 목적에 대한 명시적인 동의이어야 함

● GDPR은 정보주체의 권리를 강화하면서 특히 삭제권(잊힐 권리, right to be forgotten)을 규정.

잊힐 권리란 정보주체가 개인정보 처리에 대한 동의를 철회하고 더 이상 합법적인 처리근거가 없

는 경우와 같은 일정 상황 하에서 정보주체가 콘트롤러에서 부당한 지체 없이 해당 정보를 삭제할

것을 요구할 수 있도록 권리로서 인정한 것임

● GDPR은 개인정보를 다른 콘트롤러에게 쉽게 이전할 수 있는 형태로 개인정보를 반환받을 수 있

는 권리를 인정함으로써 소위 ‘정보 이동성(data portability)’을 보장

● GDPR은 국경간 개인정보의 이전을 규율하면서, 국외 이전 허용 근거로서 적절성 결정

(adequacy decision), 적절성 결정이 없는 경우 적절한 안전조치(appropriate safeguards)에

의한 이전, 구속력 있는 기업규칙(binding corporate rules)에 따른 이전을 규정. 제46조 하에서

인정되는 적절한 안전조치의 예로서는 (1) 공공기관 간의 법적으로 구속력 있고 집행가능한 법률

문서, (2) 제47조에 따른 구속력 있는 기업규칙, (3) 집행위원회가 채택한 표준 정보보호 조항, (4)

감독기구가 채택하고 집행위원회가 승인한 표준 정보보호 조항, (5) 제3국에서 적절한 세이프가

드를 적용하는 콘트롤러나 프로세서의 구속력 있고 집행가능한 약정과 함께 제40조에 따른 승인

된 행동강령, (6) 제3국에서 적절한 세이프가드를 적용하는 콘트롤러나 프로세서의 구속력 있고

집행가능한 약정과 함께 제42조에 따른 승인된 인증 체계(approved certification mechanism)

가 있음. 인증의 예로서 유럽정보보호인장(European Data Protection Seal)이 인정됨

142

4. 우리 법제와 비교와 시사점

● 개인정보의 개념

- GDPR이 개인정보의 개념정의를 하고 그 해석의 기준을 제시한 것처럼 개인정보인지 아닌지의

판단은 규범적으로 이루어져야 하고 일반적·객관적인 다양한 요소를 고려하여 사회평균인의 시

각에서 합리적으로 판단하여 개인정보의 범위를 확정할 필요가 있음

- 이러한 판단기준을 법률에 보다 명확히 명시하여 개인정보의 판단표지 내지 요건으로서 ‘식별가

능성’ 외에 ‘합리성’이라는 요건을 추가하는 입법노력도 바람직

● 익명화된 정보 처리의 합리적 허용

- 관련 법률의 개정을 통하여 중간영역에 존재하는 정보, 특히 가명화를 통하여 생성된 정보에 대한

안전조치 등을 통하여 합법적인 처리를 가능하게 하는 형태의 개선이 필요

● 합법적·비침해적 이용의 보장 및 처리기준의 원칙적인 일원화

- GDPR에서 규정하는 것처럼 공익적 목적의 처리 사유를 명문으로 규정하거나 ‘개인정보처리자의

정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우(

이 경우 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하

는 경우에 한한다)’를 적극 활용하여 합법적·비침해적 이용을 최대한 보장할 필요가 있음

- 우리 개인정보보호법이나 정보통신망법은 개인정보의 수집·이용과 제공을 구분하여 일부 다른

기준을 설정하고 수집·제공 목적 이외의 처리를 위한 기준도 별도로 설정하고 있지만, 불가피한

경우가 아닌 한 모든 처리에 대하여 원칙적으로 동일한 기준을 설정할 필요가 있음

- 개인정보보호법령을 통하여 정보주체의 권리를 보장하려는 것은 결국 안전한 처리를 통하여 실

현될 수 있고, 반대로 안전한 처리를 하는 이상 개인정보처리자가 개인정보를 합리적으로 활용할

수 있도록 보장하는 것이 바람직

● 우리 국민의 실질적인 개인정보보호를 위한 국외이전 규정 합리화

- GDPR은 개인정보의 역외이전 상황에서도 EU 회원국 국민의 개인정보를 실질적으로 보호하기

위하여 실질적으로 동일한 수준의 법적 보호가 이루어지는 상황 하에서는 개인정보가 국외로 이

전되어 처리될 수 있도록 다양한 법적 근거를 마련하고 있음

- 우리나라는 개인정보의 국외이전에 제한된 기준을 설정하거나 국내와 형식적·실질적으로 완전히

동일한 법준수를 요구함으로써 실제에 있어서는 법을 형해화 할 가능성이 존재

- 해외 개인정보처리자들의 우리 법 준수에 대한 유인도 강화하면서, 실질적으로 국외이전을 통한

개인정보의 처리로부터 우리 국민들을 보호하고, 나아가 우리 국민의 개인정보가 외국에서 오남

용되지 않도록 실질적으로 집행가능한 개인정보 국외이전 체계를 마련할 필요가 있음

143

1. 머리말

최근 몇 년간 개인정보를 이야기하는 사람들은 누구나 빼놓지 않고 언급하는 것이 바로 EU의 GDPR이

다. GDPR의 정식 명칭은 “개인정보의 처리와 관련한 자연인의 보호 및 그 정보의 자유로운 이전과 지

침 95/46/EC를 폐지하는 2016.4.27. 유럽의회 및 유럽이사회의 2016/679 규정”1 이다. 이를 줄여

서 일반정보보호규정(General Data Protection Regulation)이라 한다. GDPR이 주목을 받은 이유는

세계 최대 강대국인 미국의 프라이버시 혹은 개인정보보호 흐름과 대비하여 EU는 다소 상이한 방향으

로 법제도적 규제를 설정해나가고 있다는 점과 함께 EU 회원국 전체에 직접적인 강제력 혹은 규범력

을 가지는 규정(regulation)의 형태로 제정을 추진했다는 점이다. GDPR이 가지는 또 다른 의미는 제

4차 산업혁명으로 대변되는 미래 정보사회가 개인을 둘러싼 다양한 정보의 처리에 기반을 두고 형성·

발전될 수밖에 없기 때문에 개인정보에 대한 법제도적인 접근은 어떤 식으로든 미래 사회의 형성·발전

에 영향을 주게 되고, 미래 사회의 주도권을 가지려는 국가, 사회, 기업 등은 개인정보에 대한 법제도적

인 접근방식의 여하에 따라서 큰 영향을 받을 수 있다는 점이다. 특히나 모든 것이 연결되는 사물인터넷

(Internet of Things) 세상에서는 빅데이터는 일상화되면서 개인과 관련된 정보의 유통이나 처리가 방

대해지게 되고 이러한 개인정보에 대한 규제의 정도에 따라서 관련 산업의 발전은 많은 영향을 받게 된

다. 이런 점에서 EU의 GDPR은 전세계 인터넷 경제에 막강한 영향을 미치고 있는 미국의 글로벌 기업들

에게는 커다란 장애물로 인식될 수도 있는 반면, EU 회원국 내의 개인이나 기업들에게는 GDPR의 보호

하에 개인정보와 관련된 기본적 권리를 보장받거나 EU 역내 시장을 보호할 수 있는 방패막이로 느껴질

수도 있다. 그런데 모든 법규제는 양날의 칼과 같아서 개인정보보호를 통하여 정보주권을 지키고 개인

의 기본적 권리를 보장할 수도 있겠지만 한편으로는 사회·경제의 자유로운 발전을 가로막고 정보 유통

의 자유가 제한될 수도 있다. 개인정보에 대한 규제는 이러한 대립되는 이익의 충돌이 끊임없이 이루어

지고 있는 영역이기 때문에 우리 사회의 발전 과정에서 어떻게 효과적인 규율을 할 것인지는 해결하기

쉽지 않은 문제이다. 이미 개인정보보호에 관한 일반법과 다양한 특별법을 두고 있는 우리나라에서도

충돌하는 이익의 조화를 위한 많은 논의와 함께 끊임 없는 법개선 노력이 이루어지고 있다. 이런 과정에

서 개인정보보호 영역에서 세계 경제에 많은 영향을 미치는 미국과의 대척점에 서 있다고 평가받는 EU

의 법제화 과정과 그 결과물인 GDPR을 살펴보는 것은 향후 우리 법제가 나아가야 할 방향을 가늠하는

때에 많은 시사점을 줄 수 있을 것이다. 이러한 인식 하에 이 하에서는 GDPR이 제정되기 이전의 EU에

서의 개인정보보호 규율을 위한 법제도적인 노력을 살펴보고, GDPR의 입법과정에서의 논의와 최종적

인 GDPR의 주요 규정에 대한 소개 및 분석, 이를 바탕으로 한 우리 개인정보보호법제와의 비교와 바람

직한 법제 개선을 위한 시사점을 제시하겠다.

1 REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27 April 2016 on the

protection of natural persons with regard to the processing of personal data and on the free movement of such

data, and repealing Directive 95/46/EC (General Data Protection Regulation).

144

2. GDPR 제정 이전의 개인정보보호를 위한 EU의 노력2

가. CoE Convention 108

유럽평의회(Council of Europe)는 1981년에 “개인정보의 자동처리와 관련한 개인의 보호에 관한

협약(Convention for the Protection of Individuals with regards to Automatic Processing of

Personal Data)”을 체결하였는데, 이 협약은 통상 ‘Convention 108(CETS No. 108)’이라고 불린다.

Convention 108은 1985년 발효되었는데, 협약의 가입국에게 법적인 구속력을 가진다는 측면에서

주목할 만하다. 이 협약은 이후 EU의 개인정보보호의 이정표가 되었던 1995년 ‘EU 정보보호지침(EU

Data Protection Directive)’의 형성에 중요한 영향을 미치기도 하였다. Convention 108은 47개의

유럽평의회 회원국들 중 터키를 제외한 46개국 국가가 비준을 완료하였다. 한편으로는 유럽평의회 비

회원국들도 가입이 가능하도록 규정하고 있는데 비회원국들 중에서는 우루과이만이 이 조약에 가입하

고 비준을 완료하였다.

Convention 108은 협약 당사국에게 이 협약에 따른 기본원칙을 국내법에서 반영하도록 의무를 부

여하면서, 그러한 기본원칙으로서 정보의 질에 관한 원칙, 특수 유형의 정보보호(민감정보)에 관한 원

칙, 정보보안, 정보주체를 위한 부가적인 세이프가드(safeguard, 안전조치), 예외 및 제한 설정시 법률

유보의 원칙, 제재 및 구제 등을 규정하였다. 아울러 국가간 정보이전을 보장하기 위한 규정도 두고 있

다. 그러나 이러한 규정들은 현재와 같은 고도의 정보처리환경을 고려하지 못한 과거의 상황에 기반

을 둔 것들이었고, 규정들의 주요 내용들은 구체적인 기준을 제시하기 보다는 추상적으로 선언적 내용

을 규정한 측면이 강하였다. 이러한 반성에 기하여 유럽평의회는 Convention 108의 현대화를 위하여

2013년에 특별위원회를 설치하여 개정작업을 추진하고 있다.

나. EU 정보보호지침(95/46/EC)

EU는 회원국 국민의 기본권과 자유를 보호하고 개인정보 처리와 관련한 프라이버시권을 보호하며 EU

회원국 사이에서 개인정보의 자유로운 유통을 촉진하기 위하여, 1995년 10월 24일 “개인 정보의 처리

와 자유로운 유통에 관한 개인정보보호지침(Directive of the European Parliament of individuals

with regard to the processing of personal data and on the free movement of such data,

2 EU의 개인정보보호 규율을 포함하여 국제적인 개인정보보호노력에 대하여는 “[부록] 개인정보보호를 위한 국제적인 법제 발전

과정” 참조. 최경진, “정보법-과거와 현재 – 개인정보 분야를 중심으로”, 한국정보법학회 20주년 기념 세미나 및 총회 자료집,

2016에서 발췌.

145

95/46/EC)”을 채택하였다.3 이 지침은 회원국에 대한 법률의 제·개정을 촉구하면서, 독립된 감독기구

의 의무적 설치 및 자국민의 개인정보 보호와 관련하여 EU 수준으로 적절하게 개인정보를 보호하지 않

는 국가에 대하여 개인정보의 이전을 금지하는 내용 등을 담고 있다.

주요내용을 보면, EU 정보보호지침은 개인정보 수집 및 처리를 위한 원칙으로서 (a) 공정하고 적법

한 처리, (b) 수집 목적의 특정성과 정당성, (c) 수집 및 처리의 목적 관련성, (d) 최신 정보의 유지를 위

한 합리적인 조치, (e) 개인정보 보관의 방식과 시간의 적절성 등의 기준을 설정하고 있다(제6조). 이

러한 원칙은 최근 입법된 GDPR의 개인정보처리기준에서도 그대로 따르고 있다. EU 정보보호지침이

콘트롤러(controller)의 개인정보 처리를 적법하게 하는 인정하는 경우로서는 (a) 정보주체의 명백한

(unambiguous) 동의가 있는 경우, (b) 정보주체가 당사자인 계약의 이행에 필요한 경우, (c) 콘트롤러

의 법적 의무 준수에 필요한 경우, (d) 정보주체의 중대한 이익의 보호에 필요한 경우, (e) 공공의 이익

을 위해 필요한 경우 등을 규정하고 있다(제7조). 또한 특별한 보호대상으로서 민족 또는 인종적 기원,

정치적 의견, 종교 또는 철학적 신념, 노동조합 회원 자격을 드러내는 개인정보, 건강 또는 성생활에 대

한 개인정보와 같은 민감정보에 대한 처리는 원칙적으로 금지한다. 다만, 예외적으로 정보주체가 명시

적(explicit) 동의를 하는 등의 경우에는 개인정보의 처리가 가능하도록 하였다. 한편, 개인정보의 국가

간 이전의 경우에 EU 회원국에서 비회원국으로 개인정보를 이전하려고 하는 경우, 원칙적으로 그 비회

원국이 적절한(adequate) 수준의 개인정보 보호를 보장할 경우에만 그 국외이전이 가능하도록 규정하

였다. 이처럼 적절성 평가 기준을 충족해야 하는 것이 기본원칙이지만, 적절성 평가 기준에 미달하더라

도 ‘구속력 있는 기업규칙(Binding Corporate Rules, BCRs)' 등에 따라 EU 회원국들의 국민의 개인정

보를 자유롭게 EU회원국 외로 이전할 수 있는 예외가 인정된다. 그러나 이러한 EU 정보보호지침은 지

침에 불과하고 각 회원국의 입법을 통하여 비로소 구속력을 가진다는 한계를 가지고 있어서 EU 회원국

전체에 공통적으로 적용되는 규범의 필요성이 논의되었다.

다. US-EU Safe Harbor Framework

미국은 EU 정보보호지침이 정하는 제3국으로의 정보이전에 관한 적절성 기준을 만족시키기 위해 EU

와의 사이에서 Safe Harbor 원칙을 설정하여, 이 원칙을 준수하는 미국기업은 EU 정보보호지침에 따

3 EU 정보보호지침 이후에 온라인 영역에 대한 개인정보보호에 대한 보충적인 규범으로서 “전자프라이버시지침(Directive

2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal

data and the protection of privacy in the electronic communications sector (Directive on privacy and electronic

communications))”이 2002년 제정되었고, 동 지침은 2009년 개정되었다. 주요내용으로서 전송정보의 파기 및 익명처리 의무

부과, 발신자번호·접속자번호의 표시 및 표시제한, 부가서비스 제공 목적의 위치정보 이용의 제한, 원치 않는 광고성 정보 전송의 제한

등 다양한 개인정보 규율을 담고 있다. 2009년 개정 지침에서는 스팸(spam) 형태의 전송이나 쿠키와 같은 추적(tracking) 기술을

적용하는 경우까지 포함하여, 온라인 영역에서 개인정보를 자동으로 수집하는 경우에 원칙적으로 정보주체의 사전동의(opt-in)를

요구하도록 규정하였다.

146

른 적절성을 충족하는 것으로 보아 EU와의 사이에서 개인정보의 국가간 이전을 허용하고자 US-EU

Safe Harbor Framework을 추진하였다. 미국과 EU간의 Safe Harbor 원칙에 따르면, 미국의 기업

이나 단체가 자발적으로 세이프 하버원칙을 준수하겠다고 미국 상무부에 신고할 경우 적절한 개인정

보 보호조치를 강구하고 있는 것으로 간주하여 EU로부터 정보이전을 계속해서 받을 수 있다. Safe

Harbor 원칙은 고지(Notice: 수집되는 정보가 어떻게 쓰일 것인지에 대해 정보주체에게 알릴 의무), 선

택(Choice: 이전에 대해 opt-out할 기회 부여), 이전(Onward Transfer: 적절한 정보보호원칙을 따르

는 기관에만 이전가능), 접근(Access: 정보에 대한 접근권, 정정권, 삭제권), 안전성(Security: 분실을

막기 위한 합리적인 노력의무), 정보의 무결성(Data Integrity: 수집한 정보는 수집목적에 관련되고 신

뢰할만한 것이어야 함), 집행(Enforcement: 원칙을 집행할 효과적인 수단이 있어야 함)에 관한 총 7

개의 원칙으로 구성되어 있다. 그러나 2015.10. 유럽사법재판소 판결에 의하여 US-EU Safe Harbor

Framework가 무효화되면서 새롭게 EU-US Privacy Shield가 추진되었다.

라. EU-US Privacy Shield Framework

2015. 10. 6. 유럽사법재판소의 무효판결 이후 2016. 2. EU집행위원회와 미국정부 사이에 기존의

Safe Harbor를 대체하는 새로운 개인정보의 국가간 이전 체제에 대하여 정치적 합의가 도출되었다.4

이 합의에 근거해서 EU집행위원회는 Privacy Shield의 초안을 작성한 후 다양한 의견 수렴을 위하여

초안을 공개했다.5 이 공개 후 2016. 4. EU Working Party 29는 Privacy Shield에 대한 의견서를 제

출했고, EU정보보호감독기구(European Data Protection Supervisor)도 관련 의견을 공개했다. 이외

에도 유럽의회(European Parliament)가 2016. 5. Privacy Shield (안)에 대한 결의 (resolution) 절차

를 거치게 되었다. 이와 같은 기관들에서의 의견들을 반영하여 Privacy Shield의 초안에 대한 수정 작

업을 거친 후 이 수정안에 대해서 미국정부와의 합의 과정도 완료되었다. 그 후 EU집행위원회는 2016.

7. 12. Privacy Shield의 최종안을 확정했다.

Privacy Shield의 기본적인 체계는 기존의 Safe Harbor와 유사하다. 즉, Privacy Shield도 자율인증

(self-certify) 체제로 운영된다. 미국에 기반을 둔 조직들이 Privacy Shield 체제에 가입하기 위해서

는 미국 상무부(Department of Commerce)에 신청을 해서 자율인증 절차를 거쳐야 한다.6 Privacy

Shield에의 가입 자체는 기업들의 자율적 판단에 기반을 두고 있지만, 일단 해당 기업이 자율인증을 해

서 Privacy Shield 체제의 원칙들을 준수할 것을 공표를 한 이후에는 미국의 국내법에 의해서 이런 준

수에 대해 집행을 강제할 수 있다. 그러나 Privacy Shield의 세부적인 원칙들은 기존의 Safe Harbor 제

4 EU-U.S. Privacy Shield(IP/16/216).

5 European Commission, <http://europa.eu/rapid/press-release_IP-16-2461_en.htm> (last visited November 30,

2016)

6 Department of Commerce, https://www.privacyshield.gov/Program-Overview (last visited November 30, 2016)

147

도와 비교해서 정보주체의 권리를 확대하고 정보보호를 강화하는 방향으로 제정되었다. 정보를 관리하

는 기업들에게 더 강한 의무를 부과하면서, Privacy Shield 체제에 가입한 기업들이 Privacy Shield 원

칙을 준수하지 않을 경우에는 제재 조치를 받게 되고 동시에 Privacy Shield 명단에서 삭제가 된다. 특

히 제3자로의 개인정보의 재이전(onward transfer) 요건들을 엄격하게 하였다.

또한 EU와 미국 사이에 논란이 되었던 EU 회원국 국민의 개인정보에 대한 미국 정보기관의 접근을 규

율하기 위하여 미국정부가 정보에 접근할 경우에 명확한 안전장치를 제공하고 투명성 의무를 이행할

것을 제시하였다. 더 나아가 EU 회원국 국민들이 개인정보 침해로 인한 구제를 받을 수 있도록 하였으

며, 특히 미국 상무부 내에 옴부즈맨(ombudsman) 제도를 도입해서 EU 회원국 국민에 대한 정보활동

(national intelligence) 영역에서의 보상 또는 구제 제도를 설치했다.7

마. 개인정보보호를 둘러싼 주요 판결

유럽사법재판소는 개인정보보호를 위한 많은 판결을 내렸지만, 특히 그 중에서도 개인정보보호에 있어

서 큰 영향을 미친 전환점이 된 2개의 판결이 있다. 하나는 잊힐 권리(right to be forgotten)와 관련된

것이고 다른 하나는 미국과 EU 사이의 Safe Harbor 협정에 관한 것이었다.

1) 구글 사건 판결

스페인 변호사인 곤잘레스와 구글 사이에서 소위 ‘잊힐 권리(right to be forgotten)’8 를 둘러싸고

벌어진 소송에서 유럽사법재판소는 EU 정보보호지침에 따라서 정보주체와 개인적으로 관련된 해

당 정보가 정보주체의 이름과 연계한 검색결과에서 더 이상 그 이름과 연결되지 말아야 한다는 권리

를 정보주체가 보유하는가를 검토하여야 한다고 판시하였다. 반면, 검색결과에 해당 정보가 포함됨

으로써 정보주체에게 해가 되는지를 판단할 필요는 없다고 하였다. 유럽연합 기본권헌장 제7조 및

제8조에 따른 기본권적 측면에서 정보주체는 해당 정보가 검색결과에 포함되어 더 이상 일반에 공개

되지 않도록 요청할 수 있기 때문에 원칙적으로 정보주체의 그러한 권리는 검색엔진 운영자의 경제

적 이익만 존재하는 경우에는 그보다 우월하며, 정보주체의 이름과 관련한 검색에 나타나는 정보에

접근할 일반 공중의 이익보다도 앞선다는 것이다. 다만, 특별한 경우로서 예를 들면, 정보주체의 공

인으로서의 역할과 같이 검색 결과에 포함되어 일반에 공개되는 정보에 접근하는 공중의 우월한 이

익에 의해서 정보주체의 기본권에 대한 간섭이 정당화되는 경우에는 예외가 인정된다고 한다. 결과

적으로 유럽사법재판소는, 정보주체의 이름과 사회보장채무 집행을 위한 압류소송과 관련된 부동산

7 European Commission, 'Guide to the Privacy Shield'(pdf) (2016).

8 Case C-131/12, Google Spain SL, Google Inc. v Agencia Espanola de Proteccion de Datos (AEPD), Mario Costeja

Gonzalez (May 13, 2014).

148

경매가 언급된 일간신문의 온라인 기사 페이지로의 링크가 검색결과에 나타난 본 사건에서, 해당 정

보가 최초로 공개된 것이 16년 전이었고 그에 포함된 정보의 사생활에 대한 민감성을 고려할 때에

정보주체는 검색결과에 의하여 해당 정보가 자신의 이름과 더 이상 연결되지 않도록 할 권리를 가진

다고 판단하였다. 이 판결은 이후 GDPR에서의 삭제권 혹은 잊힐 권리를 규정하는데에도 큰 영향을

미쳤다.

2) 페이스북 사건 판결

2008년부터 페이스북(Facebook) 이용자였던 Maximillian Schrems이라는 오스트리아 시민이 페

이스북에 제공했던 개인정보가 페이스북 아일랜드 자회사로부터 미국에 있는 서버로 이전되어 처리

되었는데, 미국 정보기관(NSA)가 미국 스노든 사건에서 드러난 사실관계를 바탕으로 미국의 법과

실무가 미국으로 이전된 정보의 공적 기관에 의한 감시에 대한 충분한 보호를 제공하지 못한다고 주

장하면서 아일랜드 정보보호청에 청원을 제기하였다. 아일랜드 감독기구는 2000년 7월 26일 EU

위원회가 미국 상부부와 적절한 보호 수준을 제공하기 위한 자발적인 체계를 구축하기 위하여 세이

프 하버 협정9 을 체결하여 시행되고 있다는 점을 근거로 그 청원을 거부하였다. 이 세이프 하버 협정

에 의하여 소송 당시까지 4,000개 이상의 미국 기업들이 EU로부터 미국으로 개인정보를 이전할 수

있었다. 그런데 2015.10.6. 유럽사법재판소가 지난 15년 가까이 유지해 온 세이프 하버 협정을 무

효화하는 판결을 선고한 것이다.10 판결의 핵심 내용은 EU 정보보호지침 하에서 요구되는 적절한 개

인정보보호 수준이 세이프 하버 체계 하에서 충족되지 못한다는 것이다. 그 이유는 미국 정보기관에

의하여 미국으로 전송되는 EU 회원국 국민의 개인정보에 대한 접근이 특히 세이프 하버 협정에 대한

문언적 검토에 비추어 세이프 하버 협정이 엄격하게 필수적이고 필요한 범위를 초과하여 미국 집행

당국의 개인정보에 대한 접근을 허용한다는 점에서 유럽 기본권 헌장에 의하여 보장되는 사생활의

자유와 권리 및 개인정보보호에 대한 권리를 침해한다는 것이고, 미국의 감청이나 감시와 관련하여

유럽시민이 질의하는 경우에 적절한 회신을 받을 수 없는 상황은 유럽 기본권 헌장에 의하여 보호되

는 효과적인 침해 제거 및 구제에 대한 유럽 시민의 권리가 침해되는 것에 상응한다는 것이다. 이 판

결은 GDPR과 함께 미국과 EU 사이에 새로운 Privacy Shield 타결의 전기가 되었다.

9 2000/520/EC: Commission Decision of 26 July 2000 pursuant to Directive 95/46/EC of the European Parliament

and of the Council.

10 C-362/14, Maximillian Schrems v Data Protection Commissioner.

149

3. EU 일반정보보호규정(General Data Protection Regulation)

가. GDPR 입법 과정

EU는 회원국 국민의 기본권과 자유를 보호하고 개인정보 처리와 관련한 프라이버시권을 보호하며

EU 회원국 간의 개인정보의 자유로운 유통을 촉진하기 위하여 1995년 10월 24일 EU 정보보호지침

을 제정하였다. 이러한 EU 정보보호지침이 현재까지 EU 역내에서 개인정보의 처리에 관한 중요한 지

침으로 작용하고 있지만, EU 회원국에 대하여 직접적인 강제력을 가지거나 직접 적용될 수 없는 지

침(directive)의 형태로 되어 있어서 각국은 국내법에 따라 서로 상이한 보호수준을 채택하여 회원국

간 불균형이 발생하였다. 또한 인터넷을 통한 개인정보의 유통으로부터 개인을 보호할 필요성도 더

욱 강조되었다. 결국, 인터넷 상에서의 개인정보 처리의 중요성 및 EU 회원국 내의 단일한 규율체계 정

비의 필요성 등을 바탕으로 하여 2011년 7월 6일 유럽의회(European Parliament)가 “유럽연합에

서의 개인정보보호에 관한 종합적 접근”을 의결하면서 입법이 가시화되기 시작하였다.11 이후 EU 역

내의 강화된 단일 개인정보보호 입법을 목표로 2012년 1월 25일에 GDPR 초안 및 “형사범죄의 예

방, 수사, 기소 또는 형 집행 및 그 정보의 자유로운 이동을 위한 관할 관청에 의한 개인정보의 처리

와 관련한 개인의 보호에 관한 유럽 의회 및 유럽 이사회 지침안(Proposal for a DIRECTIVE OF THE

EUROPEAN PARLIAMENT AND OF THE COUNCIL on the protection of individuals with regard

to the processing of personal data by competent authorities for the purposes of prevention,

investigation, detection or prosecution of criminal offences or the execution of criminal

penalties, and the free movement of such data)”이 발표되면서 입법이 구체화 되었다. EU 차원의

개인정보보호를 위한 입법 노력은 1995년 EU가 EU 정보보호지침을 제정한 이후 16년여 만이다. 더

욱이 이번 발표에서 주목할 만 한 점은 지침의 전면개정에 머무르지 않고 EU 회원국의 국내에 직접 법

적 효과가 발생하는 ‘Regulation’의 형태로 추진된다는 점이다. EU 법체계 하에서 ‘Regulation’은 EU

전체에 직접 적용되는 매우 강력한 규범이고, ‘Regulation’이 발효되면 회원국의 국내법에 우선하여 적

용된다. 따라서 회원국은 국내법을 EU 규정에 일치시키는 입법을 하거나 기존 법을 개정하여야 한다.

규정안이 발효되려면 27개 회원국 정부 대표로 구성된 유럽 이사회와 유럽 의회의 승인을 받아야 한다.

최초 GDPR 초안이 제안되었을 때에는 2014년 발효를 목표로 하였지만, 2013년에 유럽의회를 통과

할 때까지 4,000개 이상의 수정안 및 수정의견이 제시되었을 정도로 많은 논란과 논의가 진행되어 실

제 입법이 완료될 때까지 많은 어려움이 있을 것으로 예상되었다. 그런데 스노든(Edward Snowden)

사건을 전기로 하여 EU 역외, 특히 외국 국가기관에 의하여 처리되는 EU 회원국 국민의 개인정보보

11 European Parliament resolution of 6 July 2011 on a comprehensive approach on personal data protection in the

European Union(2011/2025(INI)) 16.

150

호의 강화 논의가 촉발되었고 결국 2013년 10월 22일에 유럽의회를 통과하였다. 그리고 2014년 유

럽 선거 이전에 최종 통과를 목표로 하였지만, 2013년 10월 25일에 유럽 이사회는 최종 기한을 2014

년이 아닌 2015년으로 수정하여 향후 일정을 최종 확정하였다.12 이후 2016년 4월 27일에 당초 제

안되었던 규정안과 지침안이 GDPR 및 “형사범죄의 예방, 수사, 기소 또는 형 집행을 위한 관할 관청

에 의한 개인정보의 처리와 관련한 자연인의 보호 및 그 정보의 자유로운 이동에 관한 유럽 의회 및 유

럽 이사회 지침(Directive (EU) 2016/680 of the European Parliament and of the Council of 27

April 2016 on the protection of natural persons with regard to the processing of personal

data by competent authorities for the purposes of the prevention, investigation, detection

or prosecution of criminal offences or the execution of criminal penalties, and on the free

movement of such data, and repealing Council Framework Decision 2008/977/JHA)”으로 각

각 입법되었다. GDPR은 지침(Directive)이 아니라 규정(Regulation)이기 때문에 각국 정부에 의한 별

도의 이행 입법이 필요하지 않으며, 2년간의 유예기간을 거쳐 2018년 5월 25일 발효된다.

나. GDPR 초안

1) GDPR 초안의 목적

GDPR 초안은 개인정보의 처리와 관련된 개인의 보호 및 개인정보의 자유로운 이동에 관하여 규율

함을 목표로 하였다(제1조 제1항). GDPR 초안은 자연인의 기본적 권리와 자유, 특히 개인정보보호

에 대한 권리를 보호한다(제1조 제2항). 또한 개인정보의 처리와 관련하여 개인의 보호를 이유로 유

럽연합 내에서의 개인정보의 자유로운 이동이 제한되거나 금지되어서는 안 된다고 선언하고 있다(

제1조 제3항).

2) 적용범위

① 물적 범위

GDPR 초안은 개인정보 파일링 시스템(filling system)의 개념을 활용하여 파일링 시스템의 일부

이거나 일부를 이룰 의도가 있는 개인정보에 대하여 적용되며, 자동화 여부는 불문한다(제2조 제1

항). 다만, (a) 유럽연합 법률의 범위를 벗어나는, 특히 국가 안보와 관련된 활동 과정에서 이루어진

개인정보 처리의 경우, (b) 유럽연합 기관, 기구, 관청 등에 의한 처리, (c) 유럽연합조약(Treaty on

European Union) 제2장의 범위를 벗어나는 활동을 하는 회원국에 의한 처리, (d) 개인적 활동 또는

가정 활동 과정에서 영리 목적이 아닌 자연인에 의한 처리, (e) 범죄 행위의 예방, 조사, 수사, 기소 또

는 형사 처벌의 집행을 위한 주무기관에 의한 처리에 대하여는 적용되지 않는다(제2조 제2항). 아울

12 EUCO 169/13.

151

러 “역내 시장에서 정보사회서비스, 특히 전자상거래의 법적 측면에 관한 유럽 의회 및 이사회 지침(

전자상거래 지침)(Directive 2000/31/EC of the European Parliament and of the Council of 8

June 2000 on certain legal aspects of information society services, in particular electronic

commerce, in the Internal Market ('Directive on electronic commerce'))” 제12조부터 15조까

지에서 규정된 매개적 서비스 제공자(intermediary service provider)의 책임에 관한 규정의 적용

을 배제하지 않아야 한다(제2조 제3항).

② 장소적 범위

기본적으로 GDPR 초안은 유럽연합 내의 콘트롤러(controller)나 프로세서(processor)의 활동에 따

른 개인정보의 처리에 적용된다(제3조 제1항). 그러나 유럽연합 내에 설립되지 않은 콘트롤러라고

하더라도 유럽연합 내에 거주하는 정보주체의 개인정보를 처리하는 경우에는 GDPR 초안이 적용된

다(제3조 제2항). 즉, (a) 유럽연합 내에서 이들 정보주체에게 재화나 용역을 제공하는 경우나 (b) 정

보주체의 행동을 감시(monitoring)하는 경우에는 GDPR 초안이 적용된다. 나아가 유럽연합 내에 설

립되지 않았더라도 국제사법에 의해 회원국의 국내법이 적용되는 곳에 설립된 콘트롤러의 개인정보

처리에도 적용된다(제3조 제3항).

3) 개인정보처리의 기준

① 기본원칙

GDPR 초안은 6가지 개인정보처리의 기준을 선언하였다(제5조). 즉, (a) 정보주체와 관련하여 합법

적으로, 공정하게 그리고 투명한 방식으로 처리되어야 한다. (b) 구체적, 명시적, 합법적 목적을 위

해 수집되어야 하고, 이러한 목적에 배치되게 처리되어서는 안 된다. (c) 처리되는 목적에 맞게 적절

하고, 타당하고, 최소한의 필요에 맞게 제한되어야 하며, 개인정보를 포함하고 있지 않은 정보를 처

리함으로써 목적이 충족될 수 없는 경우에만 처리되어야 한다. (d) 정확하고 최신 정보여야 하며, 처

리되는 목적과 관련하여 부정확한 개인정보를 즉시 삭제하거나 수정한다는 것을 보증하기 위해 적

절한 조치가 취해져야 한다. (e) 개인정보가 처리되는 목적을 위하여 필요한 범위 내에서 정보주체가

확인할 수 있는 형태로 보관되어야 한다. 한편, 개인정보는 제83조의 규정에 따라 역사, 통계, 과학

연구 목적으로만 처리되어야 할 때에는 개인정보의 계속 보관의 필요성을 정기적으로 평가하는 한

더 오랜 기간 동안 보관될 수 있다. (f) GDPR 초안의 준수를 보증하고 증명하여야 하는 콘트롤러의

책임 하에 개인정보는 처리되어야 한다.

② 처리의 적법성

개인정보의 처리는 (a) 정보주체가 하나 이상의 구체적인 목적을 위해 자신의 개인정보 처리에 동의

를 하는 경우, (b) 정보주체가 계약 당사자인 계약의 이행을 위해 또는 계약 체결 전 정보주체의 요청

152

에 따라 조치를 취하기 위해 개인정보 처리가 필요한 경우, (c) 콘트롤러가 법적 의무를 준수하기 위

하여 필요한 경우, (d) 정보주체의 주요 이익을 보호하기 위해 필요한 경우, (e) 공공의 이익을 위해

필요하거나 또는 콘트롤러에게 부여된 공적 권한의 행사를 위해 필요한 경우, (f) 개인정보의 보호가

필요한 정보주체, 특히 정보주체가 어린이인 경우로서 그 정보주체의 이익 또는 기본적 권리와 자유

가 우선되는 때를 제외하고, 콘트롤러가 추구하는 적법한 이익의 목적에 부합하는 경우(공공기관이

그 업무의 수행 과정에서 개인정보를 처리하는 경우에는 적용되지 않음)에는 적법하다(제6조 제2

항). (c)와 (e)에 따라 처리하는 경우에 근거가 되는 법은 유럽연합이나 각 회원국의 법을 의미한다(제

6조 제3항).

한편, 역사, 통계, 과학 연구 목적으로 개인정보의 처리가 필요한 경우 제83조에서 규정한 조건 및 세

이프가드(safeguards)에 따라 개인정보를 처리하는 경우에는 적법하다(제6조 제2항).

③ 동의 요건

콘트롤러는 정보주체의 동의에 대한 입증책임을 부담한다(제7조 제1항). 다른 사항과 함께 동의가

요구될 때에는 동의 요건은 다른 사항으로부터 외관상 구분될 수 있도록 제시되어야 한다(제7조 제2

항). 정보주체는 자신의 동의를 언제든지 철회할 수 있으며, 동의의 철회로 인해서 철회 전 동의에 기

초하여 처리한 사항의 적법성이 영향을 받지 않는다(제7조 제3항). 정보주체와 콘트롤러 사이에서

심각한 불일치가 존재하는 경우에는 동의를 처리에 대한 법적 기초로 삼을 수 없다(제7조 제4항).

④ 아동의 개인정보의 처리

GDPR 초안에 의하면, 13세 미만 아동의 개인정보 처리는 아동의 부모나 보호자가 동의하거나 승인

하는 경우에만 적법하다(제8조 제1항). 콘트롤러는 적용 가능한 기술을 고려하여, 입증할 수 있는 동

의를 얻기 위한 합리적인 노력을 해야 한다(제8조 제1항). 다만, 이러한 규정이 아동과 관련된 계약

의 유효성, 성립, 효과 등에 대하여 규정하는 회원국의 일반 계약법에는 영향을 미치지 않는다(제8조

제2항).

⑤ 특별한 범주의 개인정보 처리

소위 ‘민감정보(sensitive data)’라고 불리는 특별한 범주의 개인정보의 범위를 유전정보나 형사 판

결 또는 보안처분 관련 정보까지 확대하여 원칙적으로 그러한 정보의 처리를 금지하고 있다. 즉, 인

종, 출신 민족, 정치적 견해, 종교 및 신념, 노동조합 가입 여부, 유전정보, 건강이나 성생활 정보, 형사

판결 또는 보안 처분과 관련된 개인정보의 처리는 금지된다(제9조 제1항). 다만, 정보주체가 동의한

경우, 법률에 따른 권리의 행사와 의무의 이행을 위하여 필요한 경우, 정보주체가 물리적 또는 법률

적으로 동의를 할 수 없는 경우로서 정보주체나 제3자의 중요한 이익을 보호하기 위해 필요한 경우,

정보주체가 명백히 공개한 개인정보를 처리하는 경우 등 일정한 예외가 인정된다(제9조 제2항).

153

4) 정보주체의 권리

기존의 EU 정보보호지침은 정보주체의 권리에 관하여 접근권(제12조), 거부권(제14조), 자동화된

결정에 대한 거부권(제15조)만을 규정하였지만, GDPR 초안은 정보주체의 권리를 하나의 장으로 편

성하여 일반적 측면에서 투명성(제11조)을 선언하고, 정보주체의 권리를 실행할 절차와 체계(제12

조) 및 콘트롤러로부터 개인정보를 제공받은 자와 관련한 권리(제13조)를 규정한 후, 개별적 권리로

서 콘트롤러의 정보제공 의무(제14조), 접근권(제15조), 정정권(제16조), 잊힐 권리 및 삭제권(제17

조), 정보이동성에 관한 권리(제18조), 거부권(제19조), 프로파일링(profiling)과 관련된 권리(제20

조)를 규정하여 정보주체의 권리를 대폭 강화하였다. 이하에서는 주요 사항을 간략하게 소개한다.

① 투명성

콘트롤러는 개인정보의 처리와 관련하여 그리고 정보주체의 권리 행사를 위해, 투명하고 쉽게 접근

할 수 있는 정책을 갖추어야 한다(제11조 제1항). 콘트롤러는 개인정보의 처리와 관련된 정보, 특히

아동에게 전달되는 정보의 경우에 해당 정보주체에게 적합하게 명확한 보통어를 사용하여 알기 쉬

운 형태로 정보를 제공하거나 의사소통하여야 한다(제11조 제2항).

② 정보주체의 권리 행사를 위한 절차 및 체계

콘트롤러는 정보주체의 권리행사를 위한 절차를 정하여야 하며, 개인정보가 자동화된 수단에 의해

처리되는 경우에는 콘트롤러는 요청이 전자적으로 처리될 수 있는 수단을 제공해야 한다(제12조 제

1항). 콘트롤러는 요청을 받은 날로부터 1개월 이내에 지체 없이 정보주체에게 조치 여부를 알려야

한다(제12조 제2항). 콘트롤러가 정보주체가 요청한 조치를 거절하는 경우, 이와 관련하여 콘트롤러

는 거절 사유와 함께 감독기관에 민원을 제출하는 방법이나 법률적으로 구제받을 수 있는 방법을 정

보주체에게 알려야 한다(제12조 제3항). 정보주체의 요청에 따른 정보제공 및 조치는 무료로 제공되

어야 하지만, 요청이 명백하게 과도한 경우, 특히 계속 반복되는 경우에 콘트롤러는 요청 받은 정보

제공이나 조치에 대해 수수료를 부과하거나 요청 받은 조치를 취하지 않을 수 있다(제12조 제4항).

다만, 콘트롤러는 요청이 명백히 과도하다는 것을 입증할 책임을 부담해야 한다.

③ 정보제공의무

콘트롤러가 개인정보 수집 시 정보주체에게 제공하여야 하는 정보는 콘트롤러 및 콘트롤러의 대리

인 및 정보보호책임자(data protection officer)의 신원 및 상세 연락처, 개인정보의 처리 목적, 개인

정보의 보관 기간, 정보주체와 관련된 개인정보의 접근 및 수정 또는 삭제를 요청하거나 이러한 개인

정보의 처리를 반대할 수 있는 권리의 존재 여부, 감독기관에게 불만 사항을 제기할 수 있는 권리와

감독기관의 상세 연락처 정보, 개인정보를 제공받는 제3자 또는 범주, 개인정보의 국외이전, 개인정

보가 수집되는 특수한 상황과 관련하여 정보주체와 관련된 개인정보의 공정한 처리를 보증하기 위

154

해 필요한 추가 정보이다(제14조 제1항).

한편, 개인정보가 정보주체로부터 수집되지 않는 경우 콘트롤러는 기본적인 제공 정보 외에 개인정

보를 어디에서 수집하였는지를 정보주체에게 알려야 한다(제14조 제3항).

그러나 이와 같은 정보제공의무는 (a) 정보주체가 이미 해당 정보를 가지고 있는 경우, (b) 개인정보

가 정보주체로부터 수집되지 않은 경우로서 그러한 정보의 제공이 불가능하거나 불필요한 경우, (c)

개인정보가 정보주체로부터 수집되지 않은 경우로서 법률에서 기록이나 공개를 규정하는 경우, (d)

개인정보가 정보주체로부터 수집되지 않은 경우로서 그러한 정보의 제공이 제21조에 따른 유럽연

합 또는 회원국 법률에서 규정한 제3자의 권리나 자유를 해치는 경우에는 적용되지 않는다(제14조

제5항).

④ 잊힐 권리 및 삭제권

GDPR 초안의 내용 중에서 국제적으로 큰 반향을 불러 일으킨 사항이 제17조에 규정된 잊힐 권리이

다.13 이에 의하면, 정보주체는 콘트롤러를 상대로 자신과 관련된 개인정보의 삭제권 및 확산 중지권

(abstention from further dissemination)을 보유한다(제17조 제1항). 특히, 아동인 정보주체의

개인정보에 대하여 그러한 권리가 보장되어야 한다. 다만, 이러한 권리가 인정되기 위해서는 (a) 해

당 개인정보가 수집되거나 처리되는 목적에 더 이상 부합하지 않는 경우, (b) 해당 개인정보를 처리

할 수 있는 법적 근거가 없는 경우로서 제6조 제1항 (a)에 따라 이루어지는 처리에 대한 동의를 철회

하거나 동의한 보관 기간이 만료된 경우, (c) 정보주체가 제19조에 따라 해당 개인정보의 처리에 반

대하는 경우, (d) 다른 이유로 인하여 해당 개인정보의 처리가 GDPR(안)을 준수하지 못하는 경우이

어야 한다(제17조 제1항). 이처럼 잊힐 권리가 인정되면 콘트롤러는 개인정보를 지체 없이(without

delay) 삭제하여야 한다(제17조 제3항).

나아가 GDPR 초안은 콘트롤러가 개인정보를 공개한 경우에 콘트롤러는 공개에 대하여 책임있는 개

인정보와 관련하여 기술적 조치를 포함하여 그 개인정보를 처리하는 제3자에게 정보주체가 그들에

게 그 개인정보의 링크, 사본을 삭제할 것을 요청한다는 점을 알리기 위한 모든 합리적인 조치를 취

하여야 한다(제17조 제2항). 콘트롤러가 제3자에게 개인정보의 공개를 허용하였다면, 그 콘트롤러

는 그 공개에 대하여 책임 있는 것으로 보아야 한다(제17조 제2항).

그러나 잊힐 권리에 대한 예외도 인정된다. 즉, (a) 제80조에 따라 표현의 자유에 대한 권리를 행사하

는 경우, (b) 제81조에 따라 공공 보건 부문에서 공익을 위한 경우, (c) 제83조에 따라 역사, 통계, 과

학 연구 목적으로 필요한 경우, (d) 유럽연합 또는 콘트롤러가 속한 회원국의 법률에 의해 개인정보

를 보관해야 하는 법적 의무를 준수해야 하는 경우(이 경우에 회원국 법률은 공공의 이익을 위한 목

13 잊힐 권리는 GDPR 초안에서 상세히 규정하고 있고, 우리나라를 비롯한 각국에서 많은 논란을 불러일으킨 사항이지만, 이 글에서는

지면의 한계로 인하여 간략하게 주요 내용만을 소개한다. 잊힐 권리의 상세한 내용과 우리법과의 비교에 대하여는 최경진, “잊혀질

권리 - 개인정보 관점에서”, 「정보법학 제16권 제2호」, 2012, 97-120면.

155

적을 충족하고, 개인정보의 보호를 위한 권리를 존중하고, 추구하는 합법적 목적에 적합해야 한다),

(e) 제17조 제4항에 따라 콘트롤러가 개인정보의 처리를 제한해야 하는 경우에는 예외적으로 개인

정보를 보유할 수 있다(제17조 제3항).

⑤ 정보 이동성에 관한 권리

개인정보가 전자적 수단 및 구조화되고 일반적으로 이용되는 형식으로 처리되는 경우에 정보주체는

일반적으로 이용되고 추후에 정보주체가 이용할 수 있는 전자적이고 구조화된 형식으로 처리되고

있는 정보의 사본을 얻을 권리를 가진다(제18조 제1항).

⑥ 거부권

콘트롤러가 정보주체의 이익이나 기본적 권리와 자유에 우선하는 적법한 처리 근거를 제시하지 않

는 한, 정보주체는 자신의 특정한 상황과 관련된 기준에 따라 언제든지 제6조 (1)항의 (d), (e) 및 (f)

에서 규정한 개인정보의 처리에를 거부할 수 있는 권리를 갖는다(제19조 제1항). 개인정보가 다이렉

트 마케팅(direct marketing)을 위해 처리되는 경우에 정보주체는 무료로 자신의 개인정보가 이러

한 마케팅을 위해 처리되는 것에 반대할 권리를 가지며, 이러한 권리는 이해하기 쉬운 방식으로 정보

주체에게 분명하게 제공되어야 하고 다른 정보와 뚜렷이 구별되어야 한다(제19조 제2항). 이처럼 거

부 또는 반대가 인정되는 경우에 콘트롤러는 해당 개인정보를 더 이상 이용 또는 처리할 수 없다(제

19조 제3항).

⑦ 프로파일링과 관련된 권리

GDPR 초안은 최근의 새로운 트렌드인 빅데이터(Big Data)를 고려하여 프로파일링과 관련된 규정

을 두고 있다. 즉, 자연인과 관련된 개인적 측면을 평가하거나 특히 업무, 경제적 상황, 지역, 건강, 개

인적 취향, 신뢰성 또는 태도에서 자연인의 행동을 분석하거나 예측할 의도를 가진 자동화된 처리에

만 기초하고 자연인과 관련된 법적 효과를 야기하거나 자연인에게 중대한 영향을 미치는 조치에 따

르지 않을 권리를 가진다(제20조 제1항). 다만, 정보주체의 적법한 이익을 보호해주는 적합한 기준

이 제공되거나 정보주체에 의한 계약 체결 또는 이행의 요청이 충족되는 경우에 계약 체결 또는 이행

과정에서 처리되는 경우, 정보주체의 합법적 이익을 보장하기에 적합한 기준을 규정한 EU 또는 회원

국의 법률에 의하여 명시적으로 승인되어 처리되는 경우, 제7조의 동의 요건과 적합한 세이프가드

하에서 정보주체의 동의에 기초하여 처리되는 경우에는 프로파일링이 예외적으로 허용된다(제20조

제2항). 이러한 프로파일링 거부권 선언과 함께 GDPR 초안은 자연인과 관련된 일정한 인적 특성을

평가하기 위한 자동화된 처리는 제9조에 규정된 특정 범주의 개인정보에만 의존하지 말아야 한다고

하여 민감정보에만 기초한 자동화된 처리의 제한을 규정하였다(제20조 제3항). 동시에 콘트롤러는

정보제공의무의 일부로서 프로파일링 조치에 의한 개인정보처리의 사실 및 그러한 처리로 인하여

156

정보주체에게 예상되는 영향에 관하여 정보를 제공하여야 한다(제20조 제4항).

5) 제한

GDPR 초안은 개인정보에 관한 권리와 의무의 범위를 입법적 조치에 의하여 제한할 수 있도록 규정

하였다(제21조 제1항). 다만, 그러한 제한은 (a) 공공의 안녕, (b) 범죄의 예방, 조사, 수사, 기소, (c)

유럽연합 또는 회원국의 공익, 특히 금융, 예산, 조세 문제 및 시장의 안정을 포함한 유럽연합 또는 회

원국의 주요 금융 또는 재정적 이익, (d) 규제직종(regulated professions)의 윤리 위반의 예방, 조

사, 수사, 기소, (e) (a)~(d)에 관한 공식적인 권한 행사와 관련된 감독, 조사 또는 규제 작용, (f) 정보

주체나 제3자의 권리 및 자유의 보호를 확보하기 위하여 민주 사회에서 필요하고 적절한 수단인 경

우이어야 한다(제21조 제1항).

6) 콘트롤러와 프로세서

① Data protection by design and by default

기술 수준 및 실행 비용을 고려하여, 콘트롤러는 개인정보의 처리 수단을 결정할 때 및 개인정보를

처리할 때에 해당 처리가 GDPR 초안의 요건을 충족하고 정보주체의 권리보호를 확보하는 방식으로

적절한 기술적 및 관리적 조치와 절차(appropriate technical and organisational measures and

procedures)를 이행하여야 한다(제23조 제1항). 또한 콘트롤러는 기본적으로(by default) 정보의

양 및 보관 시간의 양 측면에서 목적에 필요한 최소한의 범위를 넘어 개인정보가 수집되거나 보유되

지 않도록 하고, 개인정보가 각각의 특정한 처리목적을 위하여 필요하도록 처리되도록 하기 위한 메

커니즘을 이행하여야 한다(제23조 제2항).

② 공동 콘트롤러

콘트롤러가 제3자와 함께 개인정보 처리 목적, 조건, 수단을 결정하는 경우, 공동 콘트롤러는 각각

GDPR 초안에 따른 의무, 특히 이들 사이의 협정에 따라 정보주체의 권리를 행사하는데 필요한 절차

및 조치에 대한 의무를 준수해야 하는 책임을 가진다(제24조).

③ 유럽연합 내에 설립되지 않은 콘트롤러의 대리인

유럽연합 내에 설립되지 않은 콘트롤러가 제3조 제2항을 적용받는 경우에 해당 콘트롤러는 유럽연

합 내에 대리인을 지정해야 한다(제25조 제1항). 다만, (a) 제41조에 따라 적절한 보호 수준을 보증

한다고 집행위원회가 결정한 제3국에 설립된 콘트롤러, (b) 250명 미만의 직원을 고용한 기업, (c)

공공 기관 또는 단체, (d) 유럽연합에 거주하는 정보주체에게 간헐적으로만 재화 또는 용역을 제공하

는 콘트롤러의 경우에는 예외이다(제25조 제2항).

157

④ 콘트롤러 및 프로세서의 감독 하에서의 처리

콘트롤러나 개인정보에 접근할 수 있는 프로세서의 감독에 따르는 프로세서나 사람은 유럽연합 또

는 회원국 법률에서 요구하지 않는 한 콘트롤러의 지시 없이 처리할 수 없다(제27조).

⑤ 문서보관의무

모든 콘트롤러와 프로세서 그리고 해당되는 경우 콘트롤러의 대리인은 자신이 책임을 지고 있는 모

든 처리 과정을 문서화하여 보관해야 한다. 이 문서에는 최소한 다음의 정보가 포함되어야 한다. 즉,

(a) 콘트롤러, 또는 공동 콘트롤러, 또는 프로세서, 그리고 해당되는 경우 대리인의 이름과 상세 연락

처, (b) 해당되는 경우, 정보보호 책임자의 이름과 상세 연락처, (c) 제6조 제1항 (f)에 의해 처리되는

경우, 콘트롤러가 추구하는 적법한 이익을 포함한 처리의 목적, (d) 정보주체의 범주 및 이들과 관련

된 개인정보의 범주에 대한 설명, (e) 적법한 이익을 위해 개인정보가 공개되는 콘트롤러를 포함하여

개인정보를 제공받는 자 또는 범주, (f) 해당되는 경우, 제3국 또는 국제 기관에 대한 정보를 포함한

제3국 또는 국제 기관으로의 정보의 이전, 제44조 제1항 (h)에서 규정한 이전인 경우 적절한 세이프

가드의 문서화, (g) 다양한 범주의 정보 삭제에 대한 시간 제한의 표시, (h) 제22조 (3)항에서 규정한

메커니즘에 대한 설명이 포함되어야 한다(제28조 제1항).

이상과 같은 문서보관의무는 (a) 상업적 이익을 추구하지 않고 개인정보를 처리하는 자연인, (b) 주

된 업무의 부수적인 활동으로만 개인정보를 처리하고 직원 수가 250명 미만인 기업이나 단체의 경

우에는 해당되지 않는다(제28조 제4항).

7) 신고 및 통지

① 감독기관에 대한 개인정보침해의 신고

개인정보가 침해된 경우에는 콘트롤러는 지체 없이 그리고 가능한 경우에는 이를 알게 된 후 24시간

이내에 개인정보 침해 사실을 감독기관에게 신고하여야 한다. 감독기관에 24시간 이내에 신고되지

않은 경우에는 신고시에 합당한 이유를 포함하여야 한다(제31조 제1항). 또한 프로세서는 개인정보

의 침해가 이루어진 후 즉시 콘트롤러에게 이를 경고하고 알려야 한다(제31조 제2항).

신고해야 할 사항은 (a) 관련된 정보주체의 범주 및 수, 관련된 정보 기록의 범주 및 수를 포함한 개인

정보 침해의 특성에 대한 설명, (b) 정보보호 책임자의 신원 및 상세 연락처 그리고 더 많은 정보를 얻

을 수 있는 기타 연락처, (c) 개인정보 침해의 부정적인 효과를 완화하기 위해 권고되는 조치, (d) 개

인정보 침해로 인해 발생하는 결과에 대한 설명, (e) 개인정보 침해 문제를 다루기 위해 콘트롤러가

제안한 또는 취한 조치에 대한 설명이다(제31조 제3항).

② 정보주체에 대한 개인정보침해의 통지

개인정보 침해가 정보주체의 개인정보나 프라이버시의 보호에 부정적인 영향을 미칠 경우에 콘트롤

158

러는 감독기관에 대한 신고를 한 후 부당한 지체 없이 개인정보 침해 사실을 정보주체에게 알려야 한

다(제32조 제1항).

8) 정보 보호 영향 평가

처리 행위가 그 성질, 범위, 목적으로 인해 정보주체의 권리 및 자유에 특정 위험을 나타내는 경우에

콘트롤러 또는 콘트롤러를 대신하여 행하는 프로세서는 예상되는 처리 행위가 개인정보의 보호에

미치는 영향에 대한 평가를 하여야 한다(제33조 제1항).

9) 정보보호 책임자

콘트롤러와 프로세서는 (a) 공공 기관이나 단체가 처리하는 경우, (b) 250명 이상의 직원을 고용한 기

업이 처리하는 경우, (c) 콘트롤러나 프로세서의 핵심 활동이 성질, 범위, 목적에 의해 정보주체에 대한

정기적이고 체계적인 모니터링을 필요로 하는 처리 행위로 구성되는 경우에는 정보보호 책임자를 지

정해야 한다(제35조 제1항). 하나의 사업체 집단(group of undertakings)은 단일한 정보보호 책임

자를 지정할 수 있다(제35조 제2항). 콘트롤러나 프로세서가 공공 기관이나 단체인 경우, 공공 기관이

나 단체의 조직 구조를 고려하여 여러 명의 정보보호 책임자를 지정할 수 있다(제35조 제3항).

10) 행동강령 및 인증

GDPR 초안은 그 적용이 적절하게 이루어지도록 하기 위하여 회원국, 감독기관 및 집행위원회가 행

동강령(code of conduct)의 제정을 장려하도록 규정하고 있다(제38조).

한편, 회원국과 집행위원회는 특히 유럽 차원에서 콘트롤러와 프로세서가 제공한 정보 보호 수준을

신속하게 평가할 수 있도록 정보 보호 인증 체계와 정보 보호 인장(seal) 및 마크(mark)를 사용하도

록 장려해야 한다(제39조 제1항). 집행위원회는 인증 체계와 정보 보호 인장 및 마크를 장려하고 인

정하기 위해, 인증 체계와 정보 보호 인장 및 마크에 대한 기술적 표준을 정할 수 있다(제39조).

11) 개인정보의 역외이전

기존에 EU 정보보호지침에서 2개의 조문으로 규율하던 개인정보 역외이전에 대하여 GDPR 초안에

서는 보다 구체적으로 규정하여 제40조부터 제45조까지 상세한 규정을 두고 있다.

① 역외이전의 일반원칙

GDPR 초안 제40조는 역외이전을 위한 일반 원칙을 규정하고 있다. 즉, 제3국이나 국제 기관에서 다

른 제3국이나 다른 국제 기관으로의 향후 이전을 포함하여, 제3국이나 국제 기관으로 이전된 후 처

리되고 있거나 처리될 예정인 개인정보의 이전은 GDPR 초안에서의 다른 조항과 함께 본 장에서 규

정된 요건을 콘트롤러가 충족하는 경우에 가능하다(제40조). 이러한 원칙에 따라 역외이전은 집행

159

위원회의 적절성 결정에 따라 이루어질 수 있고, 적절성 결정이 없는 경우에는 적절한 세이프가드가

있는 경우에 이전이 가능하다(제42조).

② 적절성 결정에 의한 이전

GDPR 초안 집행위원회의 적절성 결정에 따른 이전을 규정한다. 즉, EU 집행위원회가 제3국, 제3국

의 영토 또는 처리 부문, 국제 기관 등이 적절한 수준의 보호를 보증하고 있다고 판단하는 경우 이전

이 가능하다(제41조 제1항). 이러한 이전에 추가적인 승인은 필요하지는 않다. 이처럼 EU집행위원

회가 보호 수준의 적절성을 평가할 때에는 다음 요소에 대해 고려해야 한다. 즉, (a) 법률 규정, 일반

적으로 또는 부문별로 시행 중인 공공의 안녕, 국방, 국가 안보, 형법 등과 관련된 것을 포함한 관련

법률, 해당 국가 또는 해당 국제 기관에서 준수해야 하는 관련 법률 및 보안 조치, 정보주체, 특히 개

인정보가 이전되는 유럽연합에 거주하는 정보주체에 대한 효과적인 행정 및 사법적 시정을 포함한

효과적이고도 실행 가능한 권리, (b) 정보 보호 규정의 준수, 권리 행사하는 정보주체에 대한 지원 및

통지, 유럽연합 및 회원국 감독기관과의 협력 등에 책임이 있는 하나 이상의 제3국의 독립적인 감독

기관이나 해당되는 국제 기관의 존재 및 효율적 역할, (c) 해당되는 제3국이나 국제 기관이 체결한 국

제 협약을 고려하여야 한다(제41조 제2항). EU 정보보호지침 제25조 제1항 또는 제26조 제4항에

기초하여 집행위원회가 채택한 결정은 집행위원회가 수정, 교체, 폐기할 때까지 계속 유효하다(제41

조 제8항).

③ 적절한 세이프가드에 의한 이전

적절성 결정이 없는 경우에는 적절한 세이프가드를 통하여 역외이전을 할 수 있다. 적절한 세이프가

드로는 (a) 제43조에 따른 구속력 있는 기업규칙(Binding Corporate Rules), (b) 집행위원회가 채

택한 표준 정보 보호 조항, (c) 제62조 제1항 (b)에 따라 집행위원회가 유효하다고 인정하는 경우, 제

57조에서 규정한 일관성 메커니즘(consistency mechanism)에 따라 감독기관이 채택한 표준 정

보 보호 조항, (d) 제4항에 따라 감독기관이 승인한 콘트롤러와 정보 수령인 사이의 계약 조항을 말

한다. 이 중 (a), (b), (c)의 표준 정보 보호 조항이나 구속력 있는 기업규칙에 기초한 이전의 경우 추가

승인이 필요하지 않다. 반면, 역외이전이 (d)의 계약 조항에 기초하는 경우, 콘트롤러는 제34조 제1

항 (a)에 따라 감독기관으로부터 계약 조항에 대해 사전 승인을 받아야 한다. 역외이전이 상대방 회

원국이나 다른 회원국에 거주하는 정보주체와 연관된 처리 활동과 관련되거나 유럽연합 내에서 개

인정보의 자유로운 이전에 큰 영향을 미치는 경우, 감독기관은 제57조에서 규정된 일관성 메커니즘

(consistency mechanism)을 적용해야 한다.

④ 예외

이상과 같은 적절성 결정이나 적절한 세이프가드가 없는 경우에도 일정한 요건하에서 역외이전이

160

허용된다(제44조). 즉, (a) 정보주체가 정당한 결정이나 적절한 안전 조치의 부재로 인해 발생할 수

있는 이전의 위험에 대해 통지를 받은 후 제안된 이전에 동의하는 경우, (b) 정보주체와 콘트롤러 사

이에서의 계약 이행을 위해 또는 정보주체의 요청에 의해 취해진 계약 전 사전 조치의 이행을 위해

이전을 해야 하는 경우, (c) 정보주체의 이익을 위해 콘트롤러와 다른 자연인 또는 법인 사이에서 체

결된 계약의 이행을 위해 이전을 해야 하는 경우, (d) 공공의 이익을 위해 이전이 필요한 경우, (e) 법

적 소송의 제기, 행사, 방어를 위해 이전이 필요한 경우, (f) 정보주체가 물리적으로 또는 법률적으로

동의를 할 수 없는 경우에 정보주체 또는 제3자의 중요한 이익을 보호하기 위해 이전이 필요한 경우,

(g) 유럽연합이나 회원국 법률에 따라 일반 대중에 정보를 제공하기 위해 그리고 일반 대중 또는 정

당한 이익을 입증할 수 있는 사람에 의한 협의를 위해 유럽연합이나 회원국 법률에서 규정한 조건이

충족되는 한도 내에서 공개되는 등록부(register)로부터 이전되는 경우, (h) 콘트롤러가 정보 또는

일련의 정보 이전 행위와 관련된 모든 상황을 평가하고 이러한 평가에 기초하여 개인정보의 보호를

위해 적절한 세아프가드를 제시하는 경우로서 콘트롤러가 추구하는 정당한 이익의 목적을 위해 이

전되는 경우에는 예외적으로 역외이전이 허용된다(제44조 제1항).

12) 배상받을 권리 및 책임

GDPR 초안은 개인정보침해로 인한 손해배상책임을 원칙적으로 인정하면서, 공동불법행위 책임과

함께 입증책임의 전환을 규정하고 있다. 즉, 정보 처리 행위나 GDPR 초안의 불이행으로 인해 손해를

입은 사람은 그 손해에 대해 콘트롤러나 프로세서로부터 배상을 받을 권리를 갖고 있다(제77조 제1

항). 하나 이상의 콘트롤러나 프로세서가 개인정보처리에 관련된 경우, 각 콘트롤러나 프로세서는 연

대하여 전체 손해액에 대한 책임을 부담해야 한다(제77조 제2항). 콘트롤러나 프로세서가 손해를 발

생시킨 행위에 대해 책임이 없다는 것을 입증하는 경우, 콘트롤러나 프로세서는 이러한 책임으로부

터 전체 또는 부분적으로 면제될 수 있다(제77조 제3항).

13) 처벌

GDPR 초안은 회원국에 형사처벌을 입법하도록 규정하면서, 행정제재에 대하여는 구체적으로 규정

하고 있다. 즉 GDPR 초안을 위반한 경우 최대 1,000,000유로 또는 기업의 경우에는 연간 전세계 매

출액의 2%까지 과징금을 부과하도록 규정하고 있다. 다만, GDPR 초안을 처음 또는 고의 없이 위반

한 경우로서 다음의 경우에는 서면 경고가 주어지고, 제재는 부과되지 않는다. 즉, (a) 자연인이 상업

적 이익의 추구 없이 개인정보를 처리하는 경우, (b) 고용된 직원의 수가 250명 미만인 기업이나 단

체가 주된 활동에 대한 부수적인 활동으로써 개인정보를 처리하는 경우에는 서면경고가 내려진다.

161

다. GDPR 유럽의회 수정안

유럽의회를 통과한 수정안의 기본 내용은 GDPR 초안과 동일하기 때문에 유럽의회를 통과한 GDPR 유

럽의회 수정안의 주요 내용 및 수정사항을 중심으로 살펴보겠다.

1) 삭제권

GDPR 초안의 가장 큰 이슈 중의 하나였던 잊혀지 권리에 대해서는 많은 논란이 있었다. 그 중에서

도 유럽연합 기관이나 회원국을 위하여 사이버 보안 이슈에 대한 업무를 수행하는 EU 산하 기관인

ENISA(European Union Agency for Network and Information Security)가 GDPR 초안에 대하

여 검토한 보고서에는 잊힐 권리에 대한 다양한 시각과 개선방향이 잘 나타나 있다. 여기에서 제시

된 시사점들은 우리가 EU의 규정안에 대하여 어떠한 시각으로 접근해야 하는가를 보여주는 좋은 자

료로서 의미가 있기 때문에 그 주요 사항을 소개하고자 한다. GDPR 초안이 공개된 이후 잊힐 권리

가 과연 어느 정도로까지 보장될 수 있고 또한 현실적으로 보장가능한가에 대하여 다양한 의문이 제

기되어 ENISA에서는 이에 대한 검토를 진행하였고, 그 결과 잊힐 권리에 관한 보고서를 공표하면

서, 다음과 같은 권고를 제시하였다.14 즉, (1) 잊힐 권리를 실행하기 위한 기술적 수단들은 개인정보

의 범위의 정의를 요구하며, 누가 어떤 환경 하에서 개인정보의 삭제를 요구할 권리를 가지는가를 명

확히 할 것을 요구하며, 정보를 삭제에 영향을 미치는 방법으로서 수용가능한 것들이 무엇인가를 명

확히 할 것을 요구한다는 점을 인식하면서, 규제 당국들이 이에 대한 명확화 작업을 공동으로 수행할

것을 요구하였다. (2) 개념정의를 규정함에 있어서도 잊힐 권리를 집행하는데 있어서의 기술적 도전

들을 신중히 고려하여야 한다. 또한 (3) 개방 인터넷 상에서의 잊힐 권리를 강제하기 위한 순수한 기

술적이고 포괄적인 해결책은 일반적으로 불가능하다는 점도 인식하였다. (4) 잊힐 권리를 실행할 수

있는 실현 가능한 접근은 EU 내의 검색엔진 운영자와 공유서비스들이 EU 영역 내외에 저장된 잊힌

정보에 대한 참조를 필터링하는 것이라는 점도 인식하였다. (5) 폐기된 오프라인 저장장치에 저장된

개인정보의 삭제와 관련한 특별한 주의가 취해져야 한다. (6) 정보처리자는 그 보유하고 있는 개인정

보에 대하여 이용자가 쉽게 접근할 수 있도록 하여야 하고, 이용자의 비용 부담 없이 그리고 부당한

지체 없이 정보를 최신화, 수정 및 삭제할 수 있는 방법을 제공하도록 규정되어야 한다. 다만, 이는 다

른 현행법과 충돌하지 않는 범위 내에서 허용된다. (7) 정보의 원치 않는 수집 및 확산을 막기 위한 기

술을 개발하여야 한다. 또한 보다 더 넓은 맥락에서 (8) 정책 결정자들이 온라인에서 수집되고 저장

된 개인정보의 양을 최소화하기 위하여 최소 공개 원칙을 지원하는 기술의 이용을 확보할 것을 권고

하였다. (9) 모든 당사자들에게 개인정보의 보관 및 이전을 위한 암호의 활용을 권고하였다. (10) 온

14 ENISA, The right to be forgotten - between expectations and practice, http://www.enisa.europa.eu/activities/

identity-and-trust/library/deliverables/the-right-to-be-forgotten, 2012.11.20.자.

162

라인 상의 추적과 프로파일링에 대하여 특별한 주의가 기울여져야 하며, 정책결정자들은 명확한 제

재를 규정하고 위법행위자들을 차단하기 위하여 집행하기 위한 수단과 개인정보보호와 관련한 규칙

을 준수하도록 강제할 수단을 규정하여야 한다고 권고하였다. (11) 개인정보보호기관 및 관련 이해

관계 당사자들은 정보보호입법으로부터 유래한 권리에 대한 이용자들의 인식을 증진하기 위하여 노

력하여야 하며, 개인정보의 과도한 수집과 보관의 경우에 민원을 제기하는 것을 포함하여 그 권리를

실행하기 위한 법체계에 의하여 이용자에게 제공된 가능성에 관하여도 이용자들의 인식을 증진하기

위하여 노력하여야 한다. 동시에 (12) 회원국은 충돌하는 규제를 제거하여야 하며, 한편 개인정보보

호기관, 제29조 정보보호 작업반, 유럽 정보보호감독관 등은 실무적인 이행 측면을 고려하여 현안인

개념정의 이슈를 명확히 하기 위한 공동의 작업을 하여야 한다.

이러한 논의의 과정을 토대로, 유럽의회는 논란이 되는 “잊힐 권리”라는 용어를 더 이상 사용하지

않고, 단순히 “삭제권”이라는 용어를 사용하였다. 또한 삭제권이 인정되는 경우로서 유럽 연합 내

의 법원이나 규제 기관이 관련 개인정보가 삭제되어야 한다고 최종적이고 절대적인 결정을 한 경우

를 추가하고, 기존에 GDPR(안)을 준수하지 않는 경우로 되어 있던 것을 “해당 정보가 불법적으로 처

리된 경우”로 수정하였다(제17조 제1항 (ca) 및 (d)). 한편, 개인정보가 웹사이트 등에 공개된 경우

에 GDPR 초안에 의하면 해당 개인정보를 처리하고 있는 제3자에게 통지할 의무를 규정하였지만,

GDPR 유럽의회 수정안은 그러한 일반적 의무를 삭제하였다(제17조 제2항).

2) 표준정보정책(Standardised information policies)

정보주체와 관련된 개인정보가 수집되는 경우에 콘트롤러는 GDPR(안)에 의해서 요구되는 정보를

제공하기 전에 문자로 열거된 일정한 상세를 정보주체에게 제공하여야 한다(제13a조). 일정한 상세

는 개인정보가 각각의 특정 처리 목적을 위하여 최소한의 필요를 넘어 수집되는지의 여부, 개인정보

가 상업적인 제3자에게 제공되는지의 여부를 포함한다.

3) 프로파일링

GDPR 유럽의회 수정안은 프로파일링 거부권을 강화하여, 정보주체는 매우 알아보기 쉬운 방식

(highly visible manner)으로 프로파일링 거부권에 대하여 고지 받도록 규정하였다(제20조 제1항).

또한 프로파일링으로 인한 차별을 명백히 금지하였다. 즉, 인종, 출신 민족, 정치적 견해, 종교, 신념,

노동조합 가입, 성적 성향이나 성정체성에 기초하여 개인에 대하여 차별의 효과를 가지거나 결과적

으로 그러한 효과를 가지는 조치가 되는 프로파일링은 금지되어야 한다(제20조 제3항). 또한 콘트롤

러는 프로파일링으로부터 야기될 수 있는 차별에 대하여 효과적인 보호를 실행하여야 한다(제20조

제3항).

163

4) 위험분석

GDPR 유럽의회 수정안은 예방활동의 중요성을 인식하여, 콘트롤러 또는 프로세서는 정보 처리 행

위의 성질, 범위 또는 목적이 중대하게 변화하게 되면, 매년 또는 즉시 위험분석의 수행을 요구받게

된다(제32a조).

5) 정보보호책임자

GDPR 유럽의회 수정안은 정보보호책임자 지정 기준을 확대하여, 콘트롤러 또는 프로세서가 법인으

로서 연속 12개월 동안 5,000명 이상의 정보주체와 관련된 정보를 처리하는 경우에 정보보호책임

자를 지정하도록 규정하였다(제35조 제1항 (b)).

6) 유럽정보보호인장

유럽정보보호인장(European Data Protection Seal)을 제정하여 자발적인 인증제도를 시행하고자

규정하였다(제39조). 유럽정보보호인장은 콘트롤러 또는 프로세서가 GDPR 유럽의회 수정안을 완

전히 준수하는 한 유효하며, 최종 5년 동안 유효하다(제39조 제1f항 및 제1g항).

7) 개인정보의 역외이전

역외이전이 가능한 경우로서 GDPR 초안은 집행위원회의 적절성 결정 또는 적절한 세이프가드

에 의하여 이전 가능했다. 적절한 세이프가드는 (a) 제43조에 따른 구속력 있는 기업규칙(Binding

Corporate Rules), (b) 집행위원회가 채택한 표준 정보 보호 조항, (c) 제62조 제1항 (b)에 따

라 집행위원회가 유효하다고 인정하는 경우, 제57조에서 규정한 일관성 메커니즘(consistency

mechanism)에 따라 감독기관이 채택한 표준 정보 보호 조항, (d) 제4항에 따라 감독기관이 승인한

콘트롤러와 정보 수령인 사이의 계약 조항이 인정되었다. 그러나 GDPR 유럽의회 수정안은 집행위

원회의 적절성 결정이나 적절한 세이프가드에 의하여 역외이전이 가능한데, 허용되는 세이프가드의

유형으로서 ‘집행위원회가 채택한 표준 정보 보호 조항’을 삭제하고, 새롭게 “콘트롤러 및 개인정보

를 제공받는 자의 유럽정보보호인장”을 추가하여 새롭게 역외이전이 가능한 사유를 추가하였다(제

42조 제2항 (aa)). 한편, 집행위원회의 적절성 결정이나 적절한 세이프가드가 없는 경우에도 역외이

전이 허용되는 예외 중에서 콘트롤러나 프로세서의 합법적 이익을 위한 경우는 삭제되었다.

8) 행정제재

GDPR 유럽의회 수정안은 행정제재의 유형을 추가 및 강화하여, GDPR 유럽의회 수정안을 위반한

자에게는 (a) 최초의 비고의적인 위반의 경우에 서면 경고, (b) 정규의 정기적인 정보보호감사, (c) 1

억 유로 또는 전세계 연간 매출액의 5%에 해당하는 과징금 중 더 큰 액수 중 최소한 하나의 제재를

과하여야 한다(제79조 제2a항).

164

라. GDPR

1) 구성

GDPR은 173개항의 전문과 본문 99개의 조문으로 구성되어 있다. 본문은 총 11개 장으로 구성되어

있으며. 각 장의 내용은 다음과 같다.

GDPR 체계 (괄호 안 숫자는 조문번호)

일반규정

(제1장)목적(1), 물적 범위(2), 장소적 범위(3), 정의(4)

원칙

(제2장)

개인정보 처리 관련 원칙(5), 처리의 적법성(6), 동의조건(7), 정보사회서비스에

관한 아동의 동의에 적용되는 조건(8), 특정범주의 개인정보 처리(9),

범죄경력 및 범죄행위에 관한 개인정보의 처리(10), 식별을 요하지 않는 처리(11)

정보주체 권리

(제3장)

제1절 투명성 및 형식 정보주체의 권리를 행사하기 위한 투명한 정보, 통신 및 형식(12)

제2절 정보 및 개인정보 접근

정보주체로부터 개인정보를 수집하는 경우 제공되는 정보(13),

정보주체로부터 개인정보가 수집되지 않는 경우 제공되는 정보(14),

정보주체의 접근권(15)

제3절 정정 및 삭제정정권(16), 삭제권(잊힐 권리)(17), 처리에 대한 제한권(18), 개인정보의

정정이나 삭제 또는 처리제한에 관한 고지의무(19), 정보이동권(20)

제4절 반대할 권리 및

자동적인 개별의사결정반대할 권리(21), 프로파일링을 포함하는 자동적인 개인의사결정(22)

제5절 제한 제한(23)

콘트롤러와 프로세서

(제4장)

제1절 일반적인 의무

콘트롤러의 책임(24), 설계에 의한 그리고 기본으로서의 정보보호(25),

공동 콘트롤러(26), 유럽연합 내에 설립되지 않은 콘트롤러 또는

프로세서의 대리인(27), 프로세서(28), 콘트롤러 또는 프로세서의

권한에 따른 처리(29), 처리 활동의 기록(30), 감독기관과의 협력(31)

제2절 개인정보의 보안처리의 보안(32), 감독기관에 대한 개인정보 침해 통지(33),

정보주체에 대한 개인정보 침해 통지(34)

제3절 정보보호 영향평가 및

사전자문정보보호 영향평가(35), 사전자문(36)

제4절 정보보호 담당관정보보호 담당관의 지정(37), 개인정보보호 담당관의 지위(38),

개인정보보호 담당관의 임무(39)

제5절 행동강령 및 인증 행동강령(40), 승인된 행동강령의 모니터링(41), 인증(42), 인증기구(43)

제3국 또는

국제기구로의 개인정보

이전 (제5장)

이전을 위한 일반원칙(44), 적절성 결정에 기초한 이전(45), 적절한 안전조치에 의한 이전(46),

구속력 있는 기업규칙(47), 유럽연합 법률로 허가되지 않은 이전 또는 공개(48),

특정 상황을 고려한 적용제외(49), 개인정보 보호를 위한 국제협력(50)

독립 감독 기구

(제6장)

제1절 독립적인 지위감독기구(51), 독립성(52), 감독기구 위원의 일반 요건(53),

감독기구 설치에 관한 규칙(54조)

제2절 기능, 임무 및 권한 기능(55), 주 감독기구의 기능(56), 임무(57), 권한(58), 활동 보고서(59)

165

협력 및 일관성

(제7장)

제1절 협력주 감독기구와 관련된 다른 감독기구 간 협력(60), 상호지원(61),

감독기구의 공동활동(62)

제2절 일관성일관성 메커니즘(63), 유럽정보보호이사회 의견(64),

유럽정보보호이사회에 의한 분쟁해결(65), 긴급 절차(66), 정보의 교환(67)

제3절 유럽정보보호이사회유럽정보보호이사회(68), 독립성(69), 유럽정보보호이사회의 임무(70),

보고서(71), 절차(72), 의장(73), 의장의 임무(74), 사무국(75), 비밀(76)

구제, 책임 및 처벌

(제8장)

감독기관에 민원을 제기할 권리(77), 감독기구를 상대로 한 효과적인 사법구제권(78),

콘트롤러나 프로세서를 상대로 한 효과적인 사법구제권(79), 정보주체의 대리(80), 법적 절차의 중지(81),

보상에 대한 권리 및 책임(82), 행정 과태료 부과에 관한 일반조건(83), 처벌(84)

특정 처리 상황에

관한 규정

(제9장)

처리 및 표현과 정보의 자유(85), 처리 및 공식 문서에 대한 일반인의 접근(86), 국가 식별번호의 처리(87),

고용 맥락에서의 처리(88), 공익을 위한 기록보존 목적, 과학이나 역사연구 목적 또는 통계 목적을 위한

처리와 관련한 안전조치 및 적용 제외(89), 비밀유지 의무(90), 교회 및 종교단체의 현행 정보보호 규정(91)

위임법률 및 시행법률

(제10장)위임의 행사(92), 위원회의 절차(93)

최종규정

(제11장)

지침95/46/EC의 폐지(94), 지침2002/58/EC와의 관계(95), 이전에 체결된 협정과의 관계(96),

집행위원회 보고서(97), 기타 유럽연합의 정보보호 법률에 대한 검토(98), 발효 및 적용(99)

2) 목적

GDPR은 개인정보의 처리와 관련한 자연인의 보호 및 개인정보의 자유로운 이동에 관하여 규정하는

것을 목적으로 하며, 자연인의 기본적 권리와 자유, 특히 개인정보의 보호를 위한 권리의 보호를 목

적으로 한다. 아울러 EU 역내에서의 개인정보의 자유로운 이동이 제한되거나 금지되지 않도록 보장

하는 것도 주요 목적으로 한다. GDPR의 목적은 GDPR 초안에서부터 최종적인 GDPR에 이르기까지

동일하게 규정되었다.

3) 장소적 적용범위의 확장

GDPR은 EU 회원국의 정보주체에게 유상이든 무상이든 재화나 용역을 제공하는 활동을 처리하거나

EU 내에서의 EU 회원국 정보주체의 활동의 모니터링과 관련한 활동을 처리하는 EU 밖의 정보 콘트

롤러나 프로세서에게도 적용된다. 이 때문에 EU 역외의 콘트롤러나 프로세서는 GDPR을 준수하여

야 한다. 이러한 장소적 적용범위의 확장은 GDPR 초안과 마찬가지로 인터넷으로 연결되는 정보화

사회에서 EU 회원국 정보주체를 실질적으로 보호하기 위함이다.

4) EU 단일 법규정 및 One-Stop Shop

GDPR이 발효되면 EU 회원국의 별도 이행입법 없이도 EU 전역에서 단일 법규정이 적용된다. GDPR

에 따라 회원국은 개인정보 관련 민원을 접수 및 처리하고 행정 제재를 과하기 위한 독립된 감독기

구(Supervisory Authority)를 설치하게 되며, 각 회원국의 감독기구는 다른 감독기구와 상호 지원

및 공동 활동을 수행하면서 협력하게 된다. 사업자가 EU에 여러 사무소를 두는 경우에 주된 사업장

이 소재하는 지역의 주 감독기관(lead supervisory authority, GDPR 제56조)의 단일한 감독을 받

166

게 되어 규제기관 측면에서의 중복을 피하고자 하였다. 주 감독기관은 해당 사업자의 EU 전역에서

의 개인정보의 처리를 감독하는 소위 원스톱숍(one-stop shop)의 기능을 수행한다. 기존의 제29조

작업반(Article 29 Working Party)을 대체하는 유럽정보보호위원회(European Data Protection

Board (EDPB), GDPR 제68조)가 각 감독기구를 조정하는 역할을 수행한다.

5) 책임성 강화

일정기준(예를 들면, 공공 기관이나 12개월 동안 5,000명 이상의 정보주체의 정보를 처리하는 기

업)에 해당하는 콘트롤러나 프로세서는 정보보호책임자(Data Protection Officer)를 지정해야 하고

(GDPR 제37조부터 제39조), 콘트롤러에게 GDPR의 각 규정의 준수를 위하여 일정한 의무가 부과

된다. 예를 들면, 문서보관의무나 정보보호영향평가(GDPR 제35조)를 받을 의무가 있으며, 정보보

호를 위하여 기획 단계에서부터 기본적으로 정보보호가 높은 수준으로 설정될 수 있도록 정보보호

활동을 수행하여야 한다(privacy by design and by default, GDPR 제25조). 정보보호책임자는 충

분한 전문적 지식을 갖춰야 하며, 그 구체적인 내용은 정보보호책임자가 책임지게 되는 개인정보 처

리 활동에 따라 달라진다. 정보보호책임자는 콘트롤러에 고용되어 활동을 할 수 있지만 서비스 계약

하에서 관련 활동을 수행할 수도 있다. 또한 하나의 기업 그룹은 단일 정보보호책임자를 임명할 수도

있다.

6) 프로세서에 대한 규율

GDPR을 통한 가장 큰 변화의 하나는 프로세서에게도 직접적인 의무가 부과된다는 점이다. 예를 들

면, 콘트롤러를 위하여 실행되는 정보처리활동의 서면 기록 유지 의무, 일정한 경우에 정보보호책임

자를 지정할 의무, 일정한 경우에 EU에 법인을 설립하지 않은 자가 대표자를 임명할 의무, 개인정보

침해가 발행한 경우에 부당한 지연 없이 해당 사실을 콘트롤러에게 통지할 의무 등이다. 개인정보 역

외이전 규정은 프로세서에게도 적용되며, 프로세서를 위한 BCRs도 공식적으로 인정된다.

7) 동의요건의 강화

GDPR의 개인정보 보호수준의 강화의 주요 수단 중의 하나는 동의 요건을 강화한 것이다. GDPR에

따른 유효한 동의는 수집되는 개인정보가 이용되는 목적에 대한 명시적인 동의이어야 한다(GDPR

제7조 및 제4조). 콘트롤러는 동의를 받았다는 사실을 증명할 수 있어야 하고, 해당 동의는 철회될 수

있다. 16세 미만의 아동의 경우에는 아동의 부모나 보호자의 동의를 받아야 하며, 입증할 수 있어야

한다(GDPR 제8조). 다만, GDPR은 회원국이 이러한 부모나 보호자의 동의를 요하는 아동의 연령을

16세로부터 13세로 낮출 수 있도록 허용함으로써 EU 전역의 법규범의 조화를 깰 가능성을 내포하

고 있다.

167

8) 개인정보 침해 통지 의무

콘트롤러는 개인정보침해 사실을 정보보호감독기구에게 통지하여야 한다. 이러한 통지는 부당한 지

체 없이 이루어져야 하며, 가능한 한 해당 사실을 인지한 때로부터 72 시간 이내에 이루어져야 한다

(GDPR 제33조). GDPR 초안에서 24시간 이내로 규정하였던 것에 비하여는 보다 늘어났다. 또한 개인

정보침해가 자연인의 권리와 자유에 높은 위험을 야기할 수 있는 경우에 콘트롤러는 부당한 지체 없

이 개인정보침해로부터 영향을 받는 정보주체에게도 해당 침해 사실을 알려야 한다(GDPR 제34조).

9) 제재

GDPR은 감독기구가 전세계 연간 매출액의 4% 또는 2천만 유로 이하의 범위 내에서 더 높은 금액을

위반에 대한 과징금으로 부과할 수 있도록 규정하고 있다. 예를 들면, 국제적인 개인정보 이전에 관

한 요건을 위반한 경우나 동의 요건과 같은 개인정보 처리의 기본 원칙의 위반의 경우가 그에 해당한

다(GDPR 제83조제5항). 한편, GDPR 제8조, 제11조, 제25조부터 제39조, 제42조와 제43조에 따

른 콘트롤러나 프로세서의 의무 위반과 같은 경우에는 전세계 연간 매출액의 2% 또는 1천만 유로

이하의 범위 내에서 더 높은 금액을 과징금으로 부과할 수 있다(제83조제4항).

10) 정보주체의 권리

정보주체의 권리 중에서 가장 주목받았던 것은 GDPR 초안으로부터 촉발된 소위 잊힐 권리(right

to be forgotten)이다. 잊힐 권리는 구글 스페인 사건에 관한 유럽사법재판소(European Court

of Justice) 판결(Google Spain SL, Google Inc. v Agencia Española de Protección de Datos,

Mario Costeja González)을 통해서 다시 한 번 주목받은 이후 최종 GDPR에서는 삭제권(잊힐 권리,

right to be forgotten)으로 규정되었다(GDPR 제17조). 이에 따르면 잊힐 권리란 정보주체가 개인

정보 처리에 대한 동의를 철회하고 더 이상 합법적인 처리근거가 없는 경우와 같은 일정 상황 하에서

정보주체가 콘트롤러에서 부당한 지체 없이 해당 정보를 삭제할 것을 요구할 수 있도록 권리로서 인

정한 것이다.

이외에 GDPR은 개인정보를 다른 콘트롤러에게 쉽게 이전할 수 있는 형태로 개인정보를 반환받을

수 있는 권리를 인정함으로써 소위 ‘정보 이동성(data portability)’을 보장하고 있다(GDPR 제20조).

11) 개인정보의 역외이전

GDPR 제5장(제44조부터 제49조)는 국경간 개인정보의 이전을 규율하고 있다. 제45조는 국외 이

전 허용 근거로서 적절성 결정(adequacy decision)을 규정한다.15 제46조는 적절성 결정이 없는 경

15 U.S.-EU Safe Harbor를 무효화 시킨 ECJ의 Schrems 판결(C-362/14)은 적절성 결정에 요구되는 수준을

“essential equivalence” (본질적인 등가성)으로 높였다.

168

우 적절한 세이프가드(appropriate safeguards)에 의한 이전의 요건을 규정한다. 제47조는 구속력

있는 기업규칙(binding corporate rules)을 규정하고, 제48조는 외국 법원이나 행정청이 GDPR에

의하여 허용되지 않는 이전을 명령하는 상황을 규율한다. 제49조는 적절성 결정이나 적절한 세이프

가드가 없는 경우의 특정 상황에서의 수정 조건을 규정한다.

제46조 하에서 인정되는 적절한 세이프가드의 예로서는 (1) 공공기관 간의 법적으로 구속력 있고

집행가능한 법률문서, (2) 제47조에 따른 구속력 있는 기업규칙, (3) 집행위원회가 채택한 표준 정

보보호 조항, (4) 감독기구가 채택하고 집행위원회가 승인한 표준 정보보호 조항, (5) 제3국에서 적

절한 세이프가드를 적용하는 콘트롤러나 프로세서의 구속력 있고 집행가능한 약정과 함께 제40

조에 따른 승인된 행동강령, (6) 제3국에서 적절한 세이프가드를 적용하는 콘트롤러나 프로세서

의 구속력 있고 집행가능한 약정과 함께 제42조에 따른 승인된 인증 체계(approved certification

mechanism)가 있다. 이러한 인증의 예로서 유럽정보보호인장(European Data Protection Seal)

이 인정된다.

4. 우리 법제에의 시사점

가. GDPR과 우리 법제의 비교

GDPR은 EU 회원국 전체에 직접 적용되는 규정으로서 회원국의 다양한 상황을 고려하면서도 대외적인

관계에서 EU 회원국 전체의 이익을 고려하여 제정된만큼 제재규정이나 개별 규정의 구체성 측면에서

직접적으로 우리의 「개인정보 보호법」(이 글에서 “개인정보보호법”이라 함)이나 「정보통신망 이용촉진

및 정보보호 등에 관한 법률」(이 글에서 “정보통신망법”이라 함)과 비교하는 것은 적절하지 않을 수도

있다. 그러나 EU 내외적으로 많은 논의와 검토를 통하여 개인정보의 보호와 활용이라는 두 관점이 함께

고려되어 만들어진 GDPR은 우리 법제의 나아가야할 방향을 설정하는데에 많은 참조가 될 수 있다. 이

러한 시각에서 이하에서는 GDPR의 많은 내용 중에서 특별히 우리 법제와의 관계에서 차별적인 사항이

나 우리 법제에서 꾸준히 문제되는 쟁점에 대하여 GDPR이 어떻게 다루고 있는지를 살펴보겠다.

1) 개인정보의 개념

GDPR은 개인정보의 개념에 대하여 ‘식별되었거나 식별가능한 정보주체인 자연인과 관련한 정보’16

라고 정의하면서, 식별가능한 자연인이란 그 자연인의 구체적으로 신체적, 생리적, 유전적, 정신적,

경제적, 문화적 또는 사회적 동일성에 특유한 하나 또는 2 이상의 요인이나 이름, 식별번호, 위치정

보, 온라인 식별자와 같은 식별자를 특별히 참조하여 직접 또는 간접적으로 식별될 수 있는 자를 말

16 GDPR §4(1).

169

한다고 정의한다. 우리 법의 경우에는 개인정보 보호법은 “살아 있는 개인에 관한 정보로서 성명, 주

민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아

볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)”(제2조제1호)로 정의하

고, 정보통신망법도 제2조제6호에서 “생존하는 개인에 관한 정보로서 성명·주민등록번호 등에 의하

여 특정한 개인을 알아볼 수 있는 부호·문자·음성·음향 및 영상 등의 정보(해당 정보만으로는 특정

개인을 알아볼 수 없어도 다른 정보와 쉽게 결합하여 알아볼 수 있는 경우에는 그 정보를 포함한다)”

고 정의한다. 이상의 정의 규정을 문언 그대로 살펴보면, EU도 우리나라와 마찬가지로 식별성을 중

요한 판단 표지로 두고 자연인이 식별되었거나 자연인을 식별할 수 있는 정보라는 공통된 요건을 요

구한다. 그러나 실제 판단에 있어서 EU GDPR은 전문을 비롯한 다양한 부분에서 개인정보의 해석에

관한 기준을 제시하고 있다.17 즉, 직접 또는 간접적으로 자연인을 식별하기 위하여 자연인을 선별해

내기 위한 모든 합리적인 수단에 관한 고려가 이루어져야 한다고 하여 식별성을 판단하는 데에는 ‘합

리성’과 ‘종합적인 판단’이 필요함을 나타내고 있다. 예를 들면, 합리적인 종합판단을 위하여 식별을

위하여 요구되는 비용과 시간, 처리 시의 가용한 기술과 기술 발전 등이 고려되어야 한다는 것이다.18

한편, 최근 우리 대법원에서 개인정보의 개념을 판시한 판례가 있다. 즉, 개인정보자기결정권의 보호

대상이 되는 개인정보의 개념 혹은 범위에 대하여 개인의 신체, 신념, 사회적 지위, 신분 등과 같이 개

인의 인격주체성을 특징짓는 사항으로서 그 ‘개인의 동일성을 식별할 수 있게 하는 일체의 정보’라고

할 수 있고, 반드시 개인의 내밀한 영역에 속하는 정보에 국한되지 아니하며 공적 생활에서 형성되

었거나 이미 공개된 개인정보까지 포함한다고 판시하여 비교적 개인정보의 범위를 폭넓게 파악하고

있다.19

2) 가명화를 통한 개인정보처리 범위의 확대

GDPR은 익명화된 정보(anonymous data)가 더 이상 개인정보로서 보호되지 않는다는 점을 명시

하고 있다.20 이와 함께 개인정보에 해당되지 않는 익명화 수준을 판단하는 기준으로서 ‘합리성(likely

reasonably to be used)’을 채택하고 있다.21 예를 들면, 식별화 처리를 위해 필요한 시간과 비용, 가

17 비교법적인 검토의 참고를 위하여 우리의 법제와 서로 영향을 주고받고 있는 일본의 개인정보 관련법을 살펴보면, 일본 개인정보의

보호에 관한 법률(個人情報の保護に關する法律) 제2조제1항은 개인정보에 관하여 “생존하는 개인에 관한 정보로서, 해당 정보에

포함되는 성명, 생년월일 기타 기술(記述) 등에 의하여 특정 개인을 식별할 수 있는 것(다른 정보를 용이하게 조합(照合)할 수 있으며,

그 정보에 의하여 특정 개인을 식별할 수 있는 것을 포함한다)”으로 정의하고 있다.

18 GDPR, Recital 26.

19 대법원 2016.08.17. 선고 2014다235080 판결. 또한 이 판결에서 개인정보자기결정권은 인간의 존엄과 가치, 행복추구권을

규정한 헌법 제10조 제1문에서 도출되는 일반적 인격권 및 헌법 제17조의 사생활의 비밀과 자유에 의하여 보장되는 권리로서

자신에 관한 정보가 언제 누구에게 어느 범위까지 알려지고 또 이용되도록 할 것인지를 그 정보주체가 스스로 결정할 수 있는 권리를

말한다고 판시하였다.

20 GDPR, Recital 26.

21 GDPR, Recital 26.

170

용한 기술 수준 등을 고려하여 식별가능하지 않게 된 정보들은 개인정보가 아니다. 앞에서 살펴본 것

처럼 개인정보에 대한 규범적 해석을 유지하는 이상 우리나라의 개인정보보호법이나 정보통신망법

에 의하는 경우에도 동일한 결론을 도출할 수 있다. 다만, GDPR은 가명화(pseudonymization)에 대

하여 규정을 두어 개인정보처리의 허용범위를 확장하고 있다. 즉, 가명화란 추가정보가 없는 상태에

서는 특정 정보주체에게 귀속될 수 없는 방식으로 개인정보를 처리하는 것을 의미한다.22 다만, 가명

화를 위해서는 두 가지 전제적 요소로 (1) 추가정보의 분리 보관과 (2) 해당 개인정보가 식별되었거

나 식별가능한 자연인에게 귀속되지 않도록 하기 위한 기술적 및 관리적 조치를 취할 것을 규정하고

있다.23 그러나 주의할 것은 가명화가 개인정보성을 완전히 제거하거나 GDPR의 적용을 완전히 배제

하는 것은 아니라는 점이다.24 가명화 처리된 개인정보는 정보가 (재)식별될 위험성을 낮추는 역할을

한다는 관점에서 (재)식별의 위험성을 관리하는 기술적 방식들 중의 하나로서 제시된 것이다.25 이러

한 접근방식에 기초하여 GDPR은 가명화와 관련하여 몇가지 규정을 두고 있다. 즉, 개인정보의 수집

목적 외의 처리와 관련해서 가명화에 대한 내용이 포함되어 있다. 예를 들어, 개인정보를 수집한 목

적 이외로 처리하기 위해서는 암호처리 및 가명처리가 포함될 수 있는 적절한 안전조치을 비롯하여

일정한 요건을 갖추어야 한다고 규정하고 있다.26 또한 콘트롤러는 프라이버시 중심 디자인(Privacy

by Design)을 구현하기 위해 처리수단을 결정한 시점과 처리 당시 시점에서 가명처리 등 적절한 기

술적·관리적 보호조치를 이행하여야 한다.27 뿐만 아니라 개인정보 처리시 보안에 철저를 기하기 위

하여 콘트롤러와 프로세서는 위험에 적합한 보안수준을 보장하는데 적절한 기술적·관리적 보호조

치를 실행해야 하는데, 그 중 하나가 개인정보의 가명처리 및 암호처리이다.28 공익을 위한 기록보존

목적, 과학이나 역사적 연구의 목적 또는 통계 목적에서 개인정보를 처리할 때 정보주체의 자유와 권

리를 보호하기 위해 적절한 안전조치를 확보해야 하는데, 그 방법 중에 하나가 가명처리이다.29 이처

럼 정보처리자가 합법적인 처리를 할 수 있는 합리적인 범위를 열어두는 수단으로써 가명화가 활용

되고 있다.

이에 반하여, 우리 개인정보보호법이나 정보통신망법에는 가명화에 대한 규정을 두고 있지 않다. 더욱

이 우리 개인정보보호법제는 엄격성과 세밀한 규제를 통하여 개인정보보호를 꾀하고 있기 때문에 관

련 규정의 해석에 유연성이 떨어지고 있다. 특히, 개인정보의 범위를 결정함에 있어서 정보처리자의

개인정보처리로 인한 책임을 합리적으로 충족시켜줄 수 있는 방안을 명확히 제시하고 있지 못하다.

22 GDPR §4(5).

23 GDPR §4(5).

24 GDPR, Recital 26.

25 GDPR, Recital 28 and 29.

26 GDPR §6.

27 GDPR §25.

28 GDPR §32.

29 GDPR §89.

171

3) 개인정보처리기준

GDPR은 개인정보의 수집, 이용, 제공 등 처리에 대하여 기본적으로 동일한 원칙을 설정하고 있으며,

개인정보의 합법적 처리기준으로서 (a) 정보주체가 하나 이상의 특정 목적을 위해 본인의 개인정보

처리에 동의를 제공한 경우, (b) 정보주체가 계약 당사자로 있는 계약의 이행을 위해 또는 계약 체결

전 정보주체의 요청에 따라 조치를 취하기 위해 처리가 필요한 경우, (c) 콘트롤러에 적용되는 법적

의무를 준수하는데 처리가 필요한 경우, (d) 정보주체 또는 제3자의 중대한 이익을 보호하기 위해 처

리가 필요한 경우, (e) 공익 상 또는 콘트롤러에게 부여된 공적 권한의 행사를 위한 업무 수행에 처리

가 필요한 경우, (f) 개인정보보호를 요구하는 정보주체의 이익이나 기본권 및 자유가 해당 이익에 우

선하지 않는 한, 특히 정보주체가 아동일 경우, 콘트롤러나 제3자가 추구하는 적법한 이익의 목적으

로 개인정보처리가 필요한 경우30 를 규정하고 있다.31 이러한 개인정보처리의 적법성 기준을 살펴보

면, 우리나라의 개인정보보호법 상의 처리 기준과 매우 유사하다. 그러나 GDPR은 각 영역에 원칙적

으로 공통되는 기준으로 작용하고 있고, 개인정보가 처리되는 행위 태양에 일원적인 원칙이 적용되

는 반면, 우리의 경우에는 개인정보보호법과 정보통신망법, 「신용정보의 이용 및 보호에 관한 법률」

등 각 법률마다 합법적 처리 기준이 동일하지 않고, 처리기준도 개인정보의 수집·이용, 제공, 위탁 등

에 대하여 다르게 설정되어 있어서 개인정보처리에 실질적으로 많은 제한이 가해지고 있다. 나아가

GDPR은 ‘공익 상 또는 콘트롤러에게 부여된 공적 권한의 행사를 위한 업무 수행에 처리가 필요한 경

우’와 같이 상당히 포괄적인 적법 처리 사유를 규정함으로써 개별적인 개인정보의 처리에 대하여 각

각의 맥락에 따라 적법한지의 여부를 판단할 수 있는 여지를 열어두고 있다는 점에서 우리의 개인정

보보호법이나 정보통신망법이 더욱 엄격하다.

4) 개인정보의 역외이전

GDPR은 EU 역내에서 준수하여야 할 개인정보처리에 관한 기준을 설정하면서도, EU를 벗어난 국

가간 개인정보 이전에 관하여는 별도의 기준을 설정하고 있다. 기본적으로는 EU 회원국 내와 동일

한 수준의 개인정보보호를 목적으로 하지만, EU 회원국 내의 수범자들과 형식적으로도 완전히 동

일한 기준을 설정하는 것이 아니라 ‘실질적으로 동일한 기준’을 설정하여 EU 회원국 밖으로 벗어나

는 EU 회원국 국민의 개인정보에 대한 권리를 실질적으로 보장하고자 꾀하고 있다. 즉, GDPR은 제

5장에서 예외적인 개인정보의 국가간 이전 근거로서 적절성 결정에 기초한 역외이전(제45조), 적절

성 결정이 없는 경우 적절한 안전조치(appropriate safeguards)에 의한 이전(제46조), 구속력 있는

기업규칙(binding corporate rules)에 의한 이전(제47조)을 규정한다. 또한 외국 법원이나 행정청

이 GDPR에 의하여 허용되지 않는 이전을 명령하는 상황을 규율하기 위한 규정도 두고 있으며, 나아

30 다만, 공공기관이 해당 기관 업무의 수행을 위해 진행하는 처리에는 적용되지 않는다.

31 GDPR §6.

172

가 적절성 결정이나 적절한 안전조치가 없는 경우의 특정 상황에서의 수정 조건도 규정하고 있다(제

48조). 이에 반하여 우리 개인정보보호법은 정부가 개인정보 국외 이전으로 인하여 정보주체의 권리

가 침해되지 아니하도록 관련 시책을 마련하도록 책무를 부여하는 것(제14조) 외에 개인정보처리자

가 개인정보를 국외의 제3자에게 제공할 때에는 고지사항을 정보주체에게 알리고 동의를 받아야 하

며, 개인정보보호법을 위반하는 내용으로 개인정보의 국외 이전에 관한 계약을 체결하지 못하도록

금지하고 있다(제17조제3항). 이에 따르면 국외이전에 대해서는 별도의 예외나 특별한 규율 없이 국

내외 동일한 규정을 준수해야 한다. 한편, 정보통신망법도 개인정보보호법과 마찬가지로 정보통신

서비스 제공자등이 이용자의 개인정보에 관하여 정보통신망법을 위반하는 사항을 내용으로 하는 국

제계약을 체결하지 못하도록 규정을 두고 있다. 이외에도 정보통신망법은 정보통신서비스 제공자등

이 이용자의 개인정보를 국외에 제공(조회되는 경우를 포함)·처리위탁·보관(이하 "이전"이라 함)하

려면 이용자의 동의를 받도록 규정하였다(제63조제2항). 다만, 정보통신서비스의 제공에 관한 계약

을 이행하고 이용자 편의 증진 등을 위하여 필요한 경우로서 고지사항을 공개하거나 전자우편 등 대

통령령으로 정하는 방법에 따라 이용자에게 알린 경우에는 개인정보 처리위탁·보관에 따른 동의절

차를 거치지 않을 수 있도록 예외를 인정한다. 또한 정보통신서비스 제공자등은 동의를 받아 개인정

보를 국외로 이전하는 경우 대통령령으로 정하는 바에 따라 보호조치를 하여야 한다(제63조제4항).

정보통신망법의 경우에는 처리위탁·보관의 경우에 동의예외를 인정하지만, 기본적으로 국외이전에

대하여는 별도의 동의를 받도록 하고 있다. 이처럼 우리의 법제는 국외이전에 대하여 매우 경직된 규

율을 하고 있고, 해외 사업자가 국내의 모든 형식적 기준까지 준수하도록 함으로써 글로벌 ICT 시대

에 적합하지 않다는 비판을 받을 수 있다. 반면, 국외이전 문제는 글로벌 경제의 관점에서만 바라볼

것이 아니라 우리나라 국민들의 개인정보 보호 및 정보주권 등 다양한 국내 법익의 보호라는 관점도

고려하여야 한다. 따라서 합리적인 범위 내에서 안전하게 개인정보가 국외이전되고, 국외이전된 개

인정보가 안전하게 처리되도록 환경을 보장하는 것이 무엇보다 중요하다. 이런 점에서 현재의 규정

들은 동의를 받지 않는 한 국외이전이 용이하지 않은 구조로 되어 있어서 합리적인 국외이전에 대한

수요까지도 막을 수 있는 문제가 있다.

173

GDPR 개인정보보호법 정보통신망법

제44조(이전을 위한 일반원칙)

제45조(적절성 결정에 기초한 이전)

제46조(적절한 안전조치에 의한 이전)

제47조(구속력 있는 기업규칙)

제48조(유럽연합 법률로 허가되지 않은

이전 또는 공개)

제49조(특정 상황을 고려한 적용제외)

제50조(개인정보 보호를 위한 국제협력)

제14조 (국제협력)

① 생략

② 정부는 개인정보 국외 이전으로 인하여

정보주체의 권리가 침해되지 아니하도록

관련 시책을 마련하여야 한다.

제17조(개인정보의 제공)

① 생략

② 생략

③ 개인정보처리자가 개인정보를 국외의

제3자에게 제공할 때에는 제2항 각 호에

따른 사항을 정보주체에게 알리고 동의를

받아야 하며, 이 법을 위반하는 내용으로

개인정보의 국외 이전에 관한 계약을

체결하여서는 아니 된다.

제63조(국외 이전 개인정보의 보호)

① 정보통신서비스 제공자등은 이용자의

개인정보에 관하여 이 법을 위반하는

사항을 내용으로 하는 국제계약을

체결하여서는 아니 된다.

② 정보통신서비스 제공자등은 이용자의

개인정보를 국외에 제공(조회되는

경우를 포함한다)·처리위탁·보관(이하

이 조에서 “이전”이라 한다)하려면

이용자의 동의를 받아야 한다.

다만, 정보통신서비스의 제공에

관한 계약을 이행하고 이용자 편의

증진 등을 위하여 필요한 경우로서

제3항 각 호의 사항 모두를 제27조의

2제1항에 따라 공개하거나 전자우편 등

대통령령으로 정하는 방법에 따라

이용자에게 알린 경우에는 개인정보

처리위탁·보관에 따른 동의절차를

거치지 아니할 수 있다.

③ 정보통신서비스 제공자등은 제2항에

따른 동의를 받으려면 미리 다음

각 호의 사항 모두를 이용자에게

고지하여야 한다.

1. 이전되는 개인정보 항목

2. 개인정보가 이전되는 국가,

이전일시 및 이전방법

3. 개인정보를 이전받는 자의 성명

(법인인 경우에는 그 명칭 및 정보

관리책임자의 연락처를 말한다)

4. 개인정보를 이전받는 자의

개인정보 이용목적 및 보유·이용 기간

④ 정보통신서비스 제공자등은 제2항에

따른 동의를 받아 개인정보를

국외로 이전하는 경우 대통령령으로

정하는 바에 따라 보호조치를

하여야 한다.

나. 우리 법제에의 시사점

1) 개인정보에 대한 합리적 판단기준의 설정

개인정보보호법이 제정된 이후에 가장 뜨거운 논란의 중심에 있었던 것이 개인정보의 개념을 어떻

게 파악하는가 하는 점이었다. 특히, 개인 식별성의 판단과 관련하여 기술적인 측면에서 볼 때에는

식별에 소요되는 시간이나 비용, 사용되는 기술의 가용성 및 기술의 진보 등에 대한 종합적 고려 없

이 기술적 측면에서의 식별의 가능성을 주된 판단자로 삼아서 거의 모든 개인에 관한 정보가 법의 보

호대상이 되는 개인정보에 포함된다는 식의 판단을 하는 경우가 드물지 않았다. 그러나 GDPR이 개

인정보의 개념정의를 하고 그 해석의 기준을 제시한 것처럼 개인정보인지 아닌지의 판단은 규범적

174

으로 이루어져야 하고 일반적·객관적인 다양한 요소를 고려하여 사회평균인의 시각에서 합리적으

로 판단하여 개인정보의 범위를 확정할 필요가 있다. 이러한 판단기준을 법률에 보다 명확히 명시하

여 개인정보의 판단표지 내지 요건으로서 ‘식별가능성’ 외에 ‘합리성’이라는 요건을 추가하는 입법노

력도 바람직하다. 그러나 이러한 판단기준은 법의 개정이 없더라도 현재의 법률과 일반적 해석방법

론에 의하더라도 설정이 가능하다. 즉, 법원과 행정청이 법위반을 판단함에 있어서 일반적 법의 해석

기준으로서 활용되는 규범적 해석 또는 합리적 해석기준을 채택함으로써 개인정보 관련 법률의 무

한한 확장 내지 남용을 방지할 수 있다.

2) 가명화된 정보 처리의 합리적 허용 방안 마련 필요

우리 개인정보보호법이나 정보통신망법 등 개인정보 관련 법률에서는 식별성을 기준으로 하여 개인

정보와 비개인정보로 구분하여 개인정보에 대하여는 관련 규정을 모두 적용하고 있기 때문에 실제

개인정보를 처리함에 있어서는 개인정보침해의 가능성은 낮은 반면 그 정보처리의 효용성이 높은

경우에도 개인정보처리와 관련한 엄격한 규제에 가로막히는 경우가 많다. 이런 점에서 EU가 가명화

에 대한 몇몇 규정을 둔 사례나 일본 개인정보의 보호에 관한 법률에서 규정된 익명가공정보에 관한

규정은 우리 개인정보보호 관련 법률의 개선에도 참고할 필요가 있다. EU GDPR이나 일본법 모두 보

호의 대상이 되는 개인정보의 구분 표지를 주로 식별성에 두는 이상 식별과 비식별의 중간 영역에 분

포되어 있는 다양한 수준의 개인정보에 대하여 합리적인 조치를 통한 처리를 허용할 필요가 있다. 최

근 관계부처 합동으로 공표된 비식별조치 가이드라인32 은 그러한 노력의 시작으로 볼 수 있지만, 법

률에서 정한 식별성 기반의 개인정보 개념과 이에 대한 각종 규정들을 유지하는 이상 비식별조치 가

이드라인은 개인정보처리자나 정보통신서비스제공자등에게 합리적인 책임 면제 혹은 감경의 근거

를 제시하기에는 미약할 수밖에 없다. 따라서 관련 법률의 개정을 통하여 중간영역에 존재하는 정보,

특히 가명화를 통하여 생성된 정보에 대한 안전조치 등을 통하여 합법적인 처리를 가능하게 하는 형

태의 개선이 필요하다.

3) 합법적·비침해적 이용의 보장 및 처리기준의 원칙적인 일원화 필요

GDPR은 공익 목적 개인정보처리나 양당사자의 이익을 비교 형량하여 개인정보처리의 적법성을 인

정해주는 규정을 둠으로써 개인정보의 보호와 활용 사이의 적절한 균형상태를 꾀하려는 노력을 엿

볼 수 있다. 그에 반하여, 우리 법제는 상대적으로 엄격한 기준을 설정함으로써 개인정보보호에 보다

더 주안점을 두고 있는 것으로 보인다. 그러나 실무상 개인정보의 활용으로 인하여 국민에게 가져다

주는 편익 혹은 공익이 큰 반면, 개인정보보호의 필요성이나 침해의 위험성은 상대적으로 낮은 경우

에는 제한적으로 안전하고 합법적으로 개인정보를 처리할 수 있도록 가능성을 열어두는 규정을 신

32 관계부처 합동, 개인정보 비식별 조치 가이드라인 - 비식별 조치 기준 및 지원 관리체계 안내 -, 2016.6.30.

175

설하는 것도 고려할 필요가 있다.33 최근 대법원 판결은 공개된 개인정보의 처리와 관련한 사건에서

“정보주체가 공적인 존재인지, 개인정보의 공공성과 공익성, 원래 공개한 대상 범위, 개인정보 처리

의 목적·절차·이용형태의 상당성과 필요성, 개인정보 처리로 침해될 수 있는 이익의 성질과 내용 등

여러 사정을 종합적으로 고려하여, 개인정보에 관한 인격권 보호에 의하여 얻을 수 있는 이익과 정

보처리 행위로 얻을 수 있는 이익 즉 정보처리자의 ‘알 권리’와 이를 기반으로 한 정보수용자의 ‘알 권

리’ 및 표현의 자유, 정보처리자의 영업의 자유, 사회 전체의 경제적 효율성 등의 가치를 구체적으로

비교 형량하여 어느 쪽 이익이 더 우월한 것으로 평가할 수 있는지에 따라 정보처리 행위의 최종적인

위법성 여부를 판단하여야”34 한다고 판시하여 종합판단에 기초한 비교형량을 시도한 사례가 있다.

이러한 이익형량에 의한 개인정보보호법령의 해석을 통하여 실질적으로 합리적인 개인정보보호법

제가 완성될 것이지만, GDPR에서 규정하는 것처럼 공익적 목적의 처리 사유를 명문으로 규정하거

나 ‘개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리

보다 우선하는 경우(이 경우 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를

초과하지 아니하는 경우에 한한다)’를 적극 활용하여 합법적·비침해적 이용을 최대한 보장할 필요

가 있다. 아울러 우리 개인정보보호법이나 정보통신망법은 개인정보의 수집·이용과 제공을 구분하

여 일부 다른 기준을 설정하고 있으며, 수집·제공 목적 이외의 처리를 위한 기준도 별도로 설정하고

있다. 그러나 불가피한 경우가 아닌 한 모든 처리에 대하여 원칙적으로 동일한 기준을 설정할 필요가

있다. 개인정보보호법령을 통하여 정보주체의 권리를 보장하려는 것은 결국 안전한 처리를 통하여

실현될 수 있고, 반대로 안전한 처리를 하는 이상 개인정보처리자가 개인정보를 합리적으로 활용할

수 있도록 보장하는 것이 바람직할 것이다.

4) 우리 국민의 실질적인 개인정보보호를 위한 국외이전 규정 합리화

GDPR은 개인정보의 역외이전 상황에서도 EU 회원국 국민의 개인정보를 실질적으로 보호하기 위하

여 실질적으로 동일한 수준의 법적 보호가 이루어지는 상황 하에서는 개인정보가 국외로 이전되어

처리될 수 있도록 다양한 법적 근거를 마련하고 있다. 이를 통하여 국외 개인정보처리자들의 법 준수

에 대한 실행 가능성과 유인을 높이고 있다. 반면, 우리나라는 개인정보의 국외이전에 제한된 기준을

설정하거나 국내와 형식적·실질적으로 완전히 동일한 법준수를 요구함으로써 실제에 있어서는 법

을 형해화 할 가능성이 존재한다. 따라서 해외 개인정보처리자들의 우리 법 준수에 대한 유인도 강화

하면서, 실질적으로 국외이전을 통한 개인정보의 처리로부터 우리 국민들을 보호하고, 나아가 우리

국민의 개인정보가 외국에서 오남용되지 않도록 실질적으로 집행가능한 개인정보 국외이전 체계를

마련할 필요가 있다. 예를 들면, GDPR과 같은 적절성 결정에 의한 이전을 허용하거나 구속력 있는

33 최경진, “빅데이터·사물인터넷 시대 개인정보보호법제의 발전적 전환을 위한 연구”, 「중앙법학」, 제17집 제4호(2015.12), 38-44면.

34 대법원 2016.08.17. 선고 2014다235080 판결.

176

기업 규칙이나 적절한 보호수준을 제공하는 인증 등을 통한 이전을 허용하는 법적인 개선이 검토되

어야 한다.

5. 맺음말

우리나라가 개인정보보호법을 제정하는데 많은 참고를 하였던 EU 정보보호지침이 GDPR로 업그레이

드되면서 세계 각 국의 개인정보보호 또는 개인정보를 기반으로 하는 국가간 정보서비스나 정보 기반

경제(Data-driven economy)에 많은 영향을 미치고 있다. 특히, 각 국의 개인정보보호 및 정보주권과

글로벌 정보 자유화 또는 자유로운 정보의 공유나 유통이라는 두 가지 상반되는 가치가 부딪히면서 어

느 방향으로 가야할지에 대하여 많은 논의가 이루어지고 있다. 엄격한 개인정보보호법을 제정한 우리

나라는 특히 세계 초강대국인 미국과 또 다른 초대형 국가공동체인 EU 사이에서 우리나라의 국익을 보

호하면서도 세계경제의 주도권을 가지기 위한 합리적인 개인정보보호법제를 지속적으로 정비하는 것

은 불가피하다. 처음 개인정보보호법이 제정된 이후 현재까지 수차례의 개정이 있었지만, 대부분 개인

정보 유출과 같은 침해 사고에 대한 비판을 근거로 개인정보보호를 강화하는 방향으로 입법이 이루어

졌다. 그러나 개인정보의 처리가 없이는 국가나 사회가 영위될 수 없고, 나아가 정보 기반 경제가 주를

이루게 될 미래에는 더더욱 개인정보의 처리는 불가피하다. 때문에 실질적으로 개인정보를 보호하면

서도 안전한 처리를 허용하는 솔로몬의 지혜가 절실히 필요하다. 이런 관점에서 전세계적으로 많은 논

란이 있었고 가장 최근에 입법이 이루어진 GDPR을 살펴보는 것은 우리 법제가 나아가야 할 방향을 정

립하는데 많은 참고가 될 수 있다. 이 보고서에서는 우리 법제가 나아가야 할 바람직한 방향에 대한 시

사점을 GDPR이 입법되어 온 과정에서의 논의와 최종적으로 입법된 GDPR에서 찾고자 시도하였다. 결

과적으로 GDPR의 모든 규정을 세세히 살펴보지는 못했지만, 법의 가장 근간이 되는 개인정보의 개념

에 대한 합리적인 판단기준의 설정이 무엇보다 필요하다는 점을 지적하였다. 즉, 판단기준을 법률에 보

다 명확히 명시하여 개인정보의 판단표지 내지 요건으로서 ‘식별가능성’ 외에 ‘합리성’이라는 요건을 추

가하는 입법노력도 바람직하다. 그러나 이러한 판단기준은 법의 개정이 없더라도 현재의 법률과 일반

적 해석방법론에 의하더라도 설정이 가능하다. 즉, 법원과 행정청이 법위반을 판단함에 있어서 일반적

법의 해석기준으로서 활용되는 규범적 해석 또는 합리적 해석기준을 채택함으로써 개인정보 관련 법률

의 무한한 확장 내지 남용을 방지할 수 있다. 또한 빅데이터와 사물인터넷 시대에 적합하도록 관련 법률

의 개정을 통하여 중간영역에 존재하는 정보, 특히 가명화를 통하여 생성된 정보에 대한 안전조치 등을

통하여 합법적인 처리를 가능하게 하는 형태의 개선이 필요하다. 아울러 우리 개인정보보호법이나 정

보통신망법은 개인정보의 수집·이용과 제공을 구분하여 일부 다른 기준을 설정하고 있으며, 수집·제공

목적 이외의 처리를 위한 기준도 별도로 설정하고 있다. 그러나 불가피한 경우가 아닌 한 모든 처리에

대하여 원칙적으로 동일한 기준을 설정할 필요가 있다. 개인정보보호법령을 통하여 정보주체의 권리를

보장하려는 것은 결국 안전한 처리를 통하여 실현될 수 있고, 반대로 안전한 처리를 하는 이상 개인정보

177

처리자가 개인정보를 합리적으로 활용할 수 있도록 보장하는 것이 바람직할 것이다. 이와 함께 GDPR

에서 규정하는 것처럼 공익적 목적의 처리 사유를 명문으로 규정하거나 ‘개인정보처리자의 정당한 이

익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우(이 경우 개인정

보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우에 한한다)’를

적극 활용하여 합법적·비침해적 이용을 최대한 보장할 필요가 있다. 마지막으로 글로벌 ICT 환경에 맞

춰서 해외 개인정보처리자들의 우리 법 준수에 대한 유인도 강화하면서, 실질적으로 국외이전을 통한

개인정보의 처리로부터 우리 국민들을 보호하고, 나아가 우리 국민의 개인정보가 외국에서 오남용되지

않도록 실질적으로 집행가능한 개인정보 국외이전 체계를 마련할 필요가 있다. 예를 들면, GDPR과 같

은 적절성 결정에 의한 이전을 허용하거나 구속력 있는 기업 규칙이나 적절한 보호수준을 제공하는 인

증 등을 통한 이전을 허용하는 법적인 개선이 검토되어야 한다. 해외의 입법례가 언제나 우리에게 모범

답안을 제공해주는 것은 아니지만, 우리의 환경과 법제를 고려하여 해외 입법례에서 우리에게도 적용

할만한 모범사례가 있다면 적극적으로 검토하고 수용하는 자세가 필요하다. 앞의 몇몇 시사점들은 우

리의 개인정보보호법제 개선에 의미있는 참고가 될 수 있을 것이다. 그러나 사회 환경은 계속 변하고 가

치도 변하기 때문에 빠르게 변화하는 정보화 시대에서 매순간 가장 적합한 개인정보보호법제가 무엇인

지 끊임없이 논의하고 그것을 법령에 반영하는 노력을 게을리 하지 말아야 할 것이다.

178

참고문헌

ENISA, The right to be forgotten - between expectations and practice, 2012

European Commission, 'Guide to the Privacy Shield', 2016

고학수 편, 개인정보의 법과 정책(제2판), 박영사, 2016

관계부처 합동, 개인정보 비식별 조치 가이드라인 - 비식별 조치 기준 및 지원 관리체계 안내 -,

2016.6.30.

최경진, “빅데이터·사물인터넷 시대 개인정보보호법제의 발전적 전환을 위한 연구”, 「중앙법학」,

제17집 제4호, 2015.12

최경진, “잊혀질 권리 - 개인정보 관점에서”, 「정보법학 제16권 제2호」, 2012

최경진, “유럽사법재판소 세이프 하버 협정 무효 판결과 개인정보보호 정책의 변호”, 「언론중재」,

2016년 봄호(통권 138호), 2016

최경진, “정보법-과거와 현재 – 개인정보 분야를 중심으로”, 한국정보법학회 20주년 기념 세미나 및

총회 자료집, 2016

한국정보법학회, 정보법판례백선II, 박영사, 2016

179

[부록] 개인정보보호를 위한 국제적인 법제 발전 과정

180

저자소개

최경진 교수

가천대학교 법과대학 법학과 교수

성균관대학교 법학박사

Duke University School of Law, LL.M.

미국 뉴욕주 변호사

개인정보보호위원회 법령평가 전문위원회 위원

방송통신위원회 인터넷문화정책자문위원회 위원

행정자치부 개인정보보호법령해석자문위원회 위원

방송통신위원회 산하 시청자미디어재단 이사

법원 전문심리위원(IT·지적재산권)

유엔 국제상거래법위원회(UNCITRAL) 정부대표 위원

APEC ECBA Expert Committee 위원

수원지법성남지원 민사·가사 조정위원